Описание абонента "Подсеть"

Записи типа "Подсеть" предназначены для указания группового адреса абонентов (IP адреса и маски подсети, которой они принадлежат) со стороны данного порта, которым будет разрешена передача данных абонентам противоположного и/или данного порта в случае соблюдения совокупности правил фильтрации, определенной для них администратором - фильтрации по IP-адресам, режимам работы с партнером и правилам трафика межсетевого экрана (см. раздел "Параметры доступа, правила трафика межсетевого экрана").

Отдельным хостам из этой подсети можно назначить права, отличающиеся от прав данной подсети, описав их отдельно (см. подраздел "Описание абонента "Host""). Такая запись отдельного хоста будет иметь больший приоритет, чем описание всей подсети, включающей в себя IP-адрес хоста.

Для описания подсети заполните следующие поля:

•Важный объект – переключатель, который в положении "включено" запрещает удалять описание абонента из интерфейса портов ФПСУ-IP. Признак "Важный объект" добавлен как дополнительная защита от случайного удаления записи при редактировании конфигурации.

•VLAN – номер виртуальной локальной сети, в которой участвует подсеть, если требуется;

•Поток — аналогично описанию потока для абонента-хоста;

•Адрес подсети - IP-адрес подсети.

•Маска подсети - можно ввести значение маски непосредственно, а можно выделить поле ввода и нажать <Пробел>, после чего в появившемся окне (см. рисунок ниже) ввести число значащих разрядов (от 8 до 24), в таком случае ФПСУ-IP рассчитает значение маски автоматически.

•Имя – имя подсети (произвольное), которое будет отображаться в списке абонентов порта.

•МАС – аппаратный адрес подсети.

•Режим работы и режим партнера - описание этих параметров аналогично описанию их для индивидуальных хостов, в этом случае установленные параметры будут одинаковы для всех хостов подсети.

•Маршрутизаторы или ФПСУ - соответствующие списки появляются в правой половине окна в зависимости от указанного режима работы всех абонентов описываемой подсети; требуется отметить соответственно маршрутизатор или ФПСУ-IP, через которые будет доступна подсеть.

Только Broadcast - переключатель, указывающий ФПСУ-IP, что данная запись типа "подсеть" создана специально для определения правил работы с широковещательными передачами. Если переключатель выключен - описываемая подсеть по установленным правилам будет обмениваться с партнерами как широковещательными IP-пакетами, так и IP-пакетами для отдельных хостов, входящих в данную подсеть.

Когда для всех рабочих станций подсети установлены одинаковые правила фильтрации, и эти правила фильтрации не отличаются от правил фильтрации широковещательных передач, вся подсеть может быть описана одной записью и переключатель включать не нужно. В противном случае, если получение широковещательных пакетов желательно, но небезопасно для отдельных хостов подсети, следует создать специальную запись для передачи только широковещательных пакетов в описываемую подсеть (включив в ней переключатель "Только Broadcast"), а для описания отдельных рабочих станций этой подсети создать отдельные записи (см. пункт "Описание абонента "Host").

Отвечать на Ping - указание ФПСУ-IP отвечать на ICMP (ECHO) пакеты, направленные от IP-адреса абонентов описываемой подсети в IP-адреса портов настраиваемого ФПСУ-IP. Отметка (разрешение отвечать на запросы) производится по нажатию клавиши <Пробел>. ФПСУ-IP отвечает только на те ICMP (ECHO) запросы, которые поступили на адреса его портов в одном IP пакете (т.е. не были фрагментированы в процессе доставки). Это означает, что размер пакета, на которые будет вырабатываться ответ, зависит от MTU маршрута: если пакет ICMP (ECHO) запроса передается по локальной сети, он не должен превышать 1464 байта, а если он передан через маршрутизатор - не должен превышать MTU за вычетом 40 байт.

Пояснение работы параметра "Только Broadcast".

Существует сетевая конфигурация, которую необходимо рассмотреть отдельно, при которой параметры абонентов для ФПСУ-IP настраиваются особым образом. Предположим, что со стороны одного порта ФПСУ-IP находится IP-подсеть, а со стороны другого порта - один или несколько хостов с адресами, входящими в диапазон адресов этой подсети, которые должны получать широковещательные IP-пакеты из этой IP-подсети. В таком случае со стороны первого порта нужно было бы описать групповой адрес подсети, а со стороны второго - индивидуальные адреса хостов или групповой адрес части данной IP-подсети, находящейся с этой стороны.

Однако при таком описании абоненты смогут обмениваться только индивидуальными IP-пакетами, а широковещательные пакеты от абонентов первого порта абонентам второго порта не смогут быть переданы через ФПСУ-IP. Для обработки подобной ситуации предусмотрена следующая последовательность установок:

•со стороны первого порта описывается групповой адрес IP-подсети;

•со стороны второго порта создается отдельная запись типа "Подсеть", содержащая тот же групповой адрес (это единственный возможный случай повторного описания адреса). При этом для этой записи режим "Только Broadcast" будет установлен автоматически, а из всех установок доступной будет только установка "Режим работы".

Необходимо отметить, что в данном случае ФПСУ-IP не будет отвечать на ARP-запросы, направленные в адрес абонентов, входящих в фиктивную запись.