Порты ФПСУ

Команда "Порты ФПСУ" меню конфигурации предназначена для задания основных правил фильтрации и маршрутизации абонентского трафика, и указания способа последующей передачи данных через ФПСУ-IP.

Для каждого рабочего порта ФПСУ-IP необходимо создать список абонентов, которым разрешается подключаться к ФПСУ-IP со стороны этого порта, указать ФПСУ-IP, с которыми будут устанавливаться VPN-туннели, маршрутизаторы, через которые абоненты будут доступны, и установить правила их работы.

ФПСУ-IP работает по принципу "все, что явно не разрешено – запрещено", поэтому если на каком-либо из портов не указано ни одного абонента, то передача данных через ФПСУ-IP производиться не будет.

При выполнении команды появится окно "Порты ФПСУ", отображающее общие установки для каждого из рабочих портов ФПСУ-IP.

Необходимо строго следить за тем, чтобы номер описываемого порта в списке был тем же, что и номер соответствующего ему сетевого адаптера, установленный при конфигурировании последнего (см. раздел "Конфигурация драйверов сетевых адаптеров") – это указание для ФПСУ-IP, какой адаптер связан с каким сегментом IP-сети.

При первом запуске подсистемы конфигурирования таблица будет пустой. Чтобы осуществить необходимые установки (или отредактировать существующие), выберите строку с нужным номером порта и нажмите <Пробел>, после чего на экран будет выдано диалоговое окно настроек порта, в котором указываются сетевые параметры абонентов, других ФПСУ и маршрутизаторов.

Передвижение по одиночным полям окна осуществляется клавишами <↓>, <↑>, <Enter> (движение вперед), а если поле содержит список параметров, выйти из него можно по нажатию клавиш <←> или <→>.

Окно содержит следующие параметры порта ФПСУ-IP:

Порт — номер порта (1 или 2), соответствующий номеру LAN-адаптера (присвоенному LAN-адаптеру при конфигурировании), который осуществляет взаимодействие с сетью передачи данных со стороны описываемого порта.

Адрес — IP-адрес порта, для которого осуществляются установки. При нажатии клавиши <Пробел> при установленном на поле Адрес курсоре, осуществляется переход к окну настройки VLAN, в которых участвует данный порт, и настройки DHCP-Relay для адресов этого порта. По умолчанию, указанный в поле Адрес IP-адрес порта ФПСУ-IP в VLAN не участвует. Описание настроек VLAN порта см. пункт "Описание VLAN порта ФПСУ-IP". По умолчанию, DHCP-Relay для порта не работает, информацию о настройке DHCP-Relay см. пункт "DHCP-Relay".

Маска подсети — IP-маска в представлении "dotted-decimal" подсети со стороны данного порта. Маску подсети рекомендуется устанавливать в соответствии с топологией локальной подсети. Маска подсети должна иметь формат, соответствующий стандарту IP-подсетей.

Введите значение рассчитанной маски непосредственно или выделите поле ввода и нажмите <Пробел>, после чего введите в появившемся окне число необходимых значащих разрядов (от 8 до 30), в таком случае ФПСУ-IP рассчитает значение маски автоматически.

Оба порта ФПСУ-IP, и 1, и 2, могут иметь один и тот же IP-адрес в одной и той же подсети (Примечание: в этом случае ни одному порту ФПСУ-IP не получится назначить DHCP-Relay!).

Тип порта — указатель на значимость порта по отношению к режиму работы ″Запрет открытых соединений″ (см. п. "Общие параметры конфигурации ФПСУ-IP"). Внутренний порт логически обозначает сетевой интерфейс, к которому подключается защищаемая локальной сети, к внешнему порту подключается открытая (не защищённая) сеть передачи данных, например, Internet/Intranet. При включенном режиме "Запрет открытых соединений" автоматически не допускаются открытые (без шифрования) соединения абонентов внутреннего порта с абонентами внешнего порта ФПСУ-IP. Если оба порта ФПСУ-IP помечены как "Внутренние", то открытые соединения абонентов через ФПСУ-IP допускаются.

По умолчанию все порты помечены как "Внутренние". Перевод порта из внешнего во внутренний и наоборот доступен только локальному администратору. Локальному администратору для каждого порта ФПСУ-IP следует:

•определить согласно политике безопасности организации: является порт внутренним или внешним;

•установить значение поля  "Тип порта" в соответствующее значение.

«Gratuitous ARP». Без проверки — способ обработки принятого «Gratuitous ARP» запроса/ответа. При снятом флаге ФПСУ-IP через 0,5 секунд после получения запроса начнет проверять доступность ранее работоспособной сетевой станции в течении 4 секунд и только при неудаче начнет широковещательный запрос этого MAC-адреса в локальной сети. При установленном флаге ФПСУ-IP разрешено сразу изменить значение MAC-адреса в таблице ARP.