Описание параметров удаленных ФПСУ-IP

В поле ФПСУ порта ФПСУ-IP необходимо описать все другие ФПСУ-IP, которые будут участвовать в создании VPN-туннелей передачи данных между защищаемыми ими абонентами (сетями) и абонентами настраиваемого ФПСУ-IP.

Сохранить созданный описатель другого ФПСУ-IP возможно только в том случае, если соответствующие ключи, полученные от "Центра выработки ключей", установлены на ФПСУ-IP и указаны к использованию (см. разделы "Установка ключей" и "Использование ключей").

Максимальное количество ФПСУ-IP, которое может быть описано на порту — 1024.

Чтобы создать новый описатель, установите курсор на поле "ФПСУ" и нажмите <Ins>, а чтобы отредактировать отмеченный описатель – нажмите клавишу <Enter> или <Пробел> при установленном на нём курсоре. В окне установки параметров укажите следующие основные параметры, необходимые для установки соединения между ФПСУ‑IP:

Адрес — IP-адрес ФПСУ-IP, с которым будет устанавливаться туннель;

Имя — символьное имя этого ФПСУ-IP, оно будет отображаться в списке ФПСУ‑IP на экране порта. По умолчанию совпадает со значением поля Адрес.

Ключи – обязательный параметр, определяющий какие именно ключи парно-выборочной связи, из числа установленных и разрешенных к использованию на ФПСУ-IP, будут применяться в процессе шифрования.

Для перехода к установке выделите курсором одноименную строку и нажмите <Пробел>. В открывшемся окне укажите криптосеть, номер и комплект используемых другим ФПСУ-IP ключей (комплект указывается только для ключей класса КС2).

Определите время, по истечении которого при взаимодействии другого ФПСУ-IP с конфигурируемым на основе выделенных ключей парно-выборочной связи будут вырабатываться новые сеансовые ключи (от 1 до 3600 секунд). Фактически, это время является временем проверки работоспособности VPN-соединения между двумя ФПСУ-IP, поэтому установка большого промежутка времени смены ключей может привести к увеличению времени реакции на потерю соединения (передаваемого на службы мониторинга SysLog или удаленного администратора ФПСУ-IP).

При установке времени смены необходимо учитывать, что при выработке новых сеансовых ключей между двумя ФПСУ-IP будут производиться обмены данными (по два IP-пакета общим размером 80 байт). "Времена смены" могут быть различны на двух ФПСУ-IP, участвующих в процессе образования и поддержания VPN-туннеля.

Затем воспользуйтесь командой "Установить" (клавишей <F2>), после чего произойдет возврат в окно "Параметры ФПСУ".

Маршрутизаторы - маршрутизаторы, через которые может осуществляться связь с описываемым удаленным ФПСУ-IP. Окно содержит список маршрутизаторов, которые заранее были созданы администратором (см. пункт "Описание параметров используемых маршрутизаторов").

ФПСУ-IP из списка можно приписывать к различным маршрутизаторам, регламентируя тем самым нагрузку на маршрутизаторы. Следует особо отметить ситуацию, когда конфигурируемый ФПСУ-IP имеет несколько смежных маршрутизаторов, которые могут направлять ему ICMP-сообщения переадресации (Redirect) на другой маршрутизатор. Эти сообщения будут учитываться ФПСУ-IP следующим образом:

•если в поле "Маршрутизаторы" при описании параметров работы конфигурируемого порта с удаленным ФПСУ-IP ни один маршрутизатор не отмечен (знаком "→"), сообщение переадресации принимается ФПСУ-IP только в том случае, если оно получено от любого прописанного на принимающем порту маршрутизатора и переадресовывает IP-пакеты на любой другой прописанный на этом порту маршрутизатор.

•если в поле "Маршрутизаторы" есть отмеченные маршрутизаторы, то сообщение переадресации может быть принято только от одного из них и только в том случае, если в качестве нового маршрутизатора указывается также один из таких маршрутизаторов (в этом случае в конфигурации ФПСУ-IP должно быть указано как минимум два маршрутизатора).

В остальных случаях при передаче IP-пакетов удаленному ФПСУ-IP сообщения переадресации в адрес конфигурируемого ФПСУ-IP будут сброшены.

Когда все требуемые параметры в окне "Параметры ФПСУ" определены, следует активизировать команду "Установить" или нажать клавишу <F2>, после чего осуществится выход в окно установки параметров порта, в котором имя описанного ФПСУ-IP появится в списке, а внизу окна будут отображены основные параметры его работы.

Если какой-либо ФПСУ-IP больше не существует или не участвует в работе, и его описатель не нужен, отметьте его и нажмите <Del> для удаления. В этом случае для всех абонентов, работающих через ФПСУ-IP с удаленным описателем, доступ будет автоматически запрещен.