Режим "Мост" между ФПСУ-IP (L2-шифрование)

Режим моста предназначен для передачи всех входящих сетевых фреймов (L2) с одного порта ФПСУ-IP в туннель к другому ФПСУ-IP без дополнительной проверки и фильтрации. Режим моста может быть включен только для одного туннеля между ФПСУ-IP.

Для перехода в окно выбора действующего режима следует установить курсор на поле "Мост" и нажать клавишу <Пробел>.

Режим моста для туннеля между ФПСУ-IP может находиться в следующих состояниях:

•Выключен — в туннеле между двумя ФПСУ-IP не используется режим моста;

•Включен — в туннеле используется режим моста; ФПСУ-IP будет использовать пакеты увеличенного размера (Jumbo-Frame) для передачи инкапсулированных фреймов, размером до 15854 байт, в зависимости от типа сетевого адаптера. Предназначен для создания "моста" с удаленным ФПСУ-IP. Обратите внимание: передача Jumbo-Frame корректно работает только при выборе DPDK драйверов для сетевых адаптеров! (см. пункт "Конфигурация драйверов сетевых адаптеров");

•Включен без Jumbo-Frame — в туннеле используется режим моста; в этом режиме IP пакеты обычной длины (пакеты размером более 1460 байт, в зависимости от настроек MTU туннеля между ФПСУ-IP и задействованных Ethernet сервисов) после инкапсуляции превысят 1500 байт и будут разбиты на два пакета, что и может вызвать ухудшение скоростных характеристик.

•Поток — опциональный параметр. Укажите номер выходного потока (см. "Общие правила разделения потоков"), в который будут инкапсулированы передаваемые в режиме моста пакеты. ВНИМАНИЕ! Для задания отличного от автоматически определенного MTU передаваемых в режиме моста данных, требуется обязательно установить номер потока (от 1 до 8), и затем в настройках выходных потоков туннеля указать для установленного потока желаемый MTU.

При включенном для туннеля между ФПСУ-IP режиме моста, все приходящие на другой порт ФПСУ-IP кадры будут приняты и ретранслированы в данный туннель, кроме следующих:

•кадров, отправленные в MAC-адрес портов ФПСУ-IP;

•пакетов от абонентов, описанных на портах ФПСУ-IP.

Полученные из работающего в режиме моста туннеля пакеты, отправленные не в MAC-адрес портов ФПСУ, будут ретранслированы на другой порт, вне зависимости от типа кадра (unicast, broadcast) или содержимого верхнего уровня.

Передаваемые в работающий в режиме моста туннель данные инкапсулируются вместе с заголовком канального уровня, в отличие от обычного режима туннеля, когда инкапсулируются данные только начиная с сетевого уровня (выполняется инкапсуляция Ethernet в IP, а не IP в IP).

ВНИМАНИЕ! ФПСУ-IP не выполняет фильтрацию пакетов, ретранслируемых в работающий в режиме моста туннель и получаемых из работающего в режиме моста пакетов, если эти пакеты были направлены не в МАС-адрес портов ФПСУ. Для пакетов, отправленных в MAC-адрес портов ФПСУ, фильтрация по правилам ФПСУ-IP выполняется в обычном порядке.

ВНИМАНИЕ! ФПСУ-IP, работающий в режиме моста, запрещается указывать в качестве основного шлюза на рабочей станции!

Требуется обратить особое внимание при добавлении абонентов и маршрутизаторов в конфигурацию ФПСУ, имеющему мостовой туннель. При задействованном механизме ARP-proxy в локальной сети может произойти обновление ARP-таблиц рабочих станций, и абоненты начнут обращаться в MAC-адрес ФПСУ, что приведет к обычной фильтрации этих пакетов по правилам межсетевого экрана, с возможно блокировкой их передачи.

В конфигурации ФПСУ-IP только один туннель может быть настроен на работу в режиме моста.

Режим моста предполагается задействовать в ситуациях, когда требуется объединить распределенную локальную сеть, создав защищенный механизм передачи данных без изменения сетевой конфигурации и добавления новых маршрутов.

В приведенной на рисунке схеме требуется передавать пакеты внутри локальной сети, разделенной географически. Для того, чтобы организовать такую "прозрачную" защищенную передачу данных, достаточно на внешних портах ФПСУ-IP 1 и ФПСУ-IP 2 создать описатель партнера по шифрованию и включить режим моста для туннеля ФПСУ-IP 1 ↔ ФПСУ-IP 2.

При этом на внутренних портах ФПСУ 1 и ФПСУ 2 не должно быть описано абонентов (хостов, подсетей, записи "любой хост") - пакеты от явно указанных на портах ФПСУ-IP абонентов не передаются в туннель типа "мост".

Нажмите кнопку "Установить" или клавишу <F2> для выхода из окна с сохранением выполненных изменений, и клавишу <Esc> для выхода без сохранения.