Previous 

Использование ФПСУ-IP для создания VPN-туннелей

Next

Рассмотрим ситуацию, когда сеть организации представляет из себя отдельные локальные IP-подсети, разделенные территориально и связанные через участки WAN-сети общего пользования. В таком случае, для обеспечения защищенного взаимодействия локальных подсетей, необходимо на выходе каждой из них установить ФПСУ-IP (со стороны внутреннего порта пограничного маршрутизатора) и организовать между ФПСУ-IP VPN-туннели через WAN-сеть общего доступа, по которым данные абонентов будут передаваться с использованием всех механизмов защиты, включая аутентификацию и, возможно, сжатие.

Предположим, что организация использует следующие IP-адреса:

защищаемая область А - 192.168.1.0, маска 255.255.255.0 (24 бита);

защищаемая область В - 192.168.2.0, маска 255.255.255.0 (24 бита);

защищаемая область С - 192.168.3.0, маска 255.255.255.0 (24 бита);

внутренний порт маршрутизатора А -192.168.1.1;

внутренний порт маршрутизатора В -192.168.2.1;

внутренний порт маршрутизатора С -192.168.3.1.

Для ФПСУ-IP в каждой подсети будут выделены адреса .50.

На работу сети наложены следующие ограничения:

хосты из всех защищаемых областей должны иметь круглосуточный доступ друг к другу;

управление пограничными маршрутизаторами (А, В, С) должно осуществляться только из защищаемой области С.

После установки ФПСУ-IP сеть организации имеет вид, представленный на рисунке ниже.

Sample_CFG_Scheme4_30082022

С точки зрения конфигурирования ФПСУ-IP А, В и С для работы в условиях такой топологии и удовлетворения наложенных требований принципиальным является следующее:

со стороны внутреннего порта каждого ФПСУ-IP (например, порта 1) существует одна соответствующая IP-подсеть, а со стороны порта 2 принадлежащих этой подсети хостов нет; маршрутизаторы и ФПСУ-IP отсутствуют;

со стороны порта 2 существуют две IP-подсети, а со стороны порта 1 хостов, принадлежащих этим подсетям, нет; доступ к ним будет осуществляться через соответствующий удаленный ФПСУ-IP;

обмен между защищаемыми областями должен производиться только внутри организованных ФПСУ-IP VPN-туннелей;

на каждом ФПСУ-IP должны быть установлены ранее выработанные криптографические ключи парно-выборочной связи. Причем на ФПСУ-IP А указан используемый номер ключа 1, на ФПСУ-IP В - номер 2 и на ФПСУ-IP С - номер 3;

со стороны внешнего порта ФПСУ-IP установлены пограничные маршрутизаторы, управление которыми должно осуществляться только из защищаемой области С, причем каналы управления маршрутизаторами за пределами их внешних портов должны быть защищены ФПСУ-IP.

В данном случае возможны два различных варианта конфигурации ФПСУ-IP, которые описаны ниже.