Служебные протоколы
Previous 

Общие правила разделения потоков

 Next

При обмене информацией между двумя ФПСУ-IP, работающими в паре, данные передаются по сети в туннелированном виде, так что любая рабочая станция на пути следования IP пакетов от одного ФПСУ-IP к другому, включая пограничные маршрутизаторы, может «видеть» в их IP-заголовках только IP-адреса отправляющего и получающего ФПСУ-IP и номер IP-протокола, по которому осуществляется обмен между ФПСУ-IP.

Таким образом, если на пути следования пакетов находится пограничный маршрутизатор, конфигурированный на формирование нескольких различных потоков с различными маршрутами следования или ограничения полосы их пропускания (функция «shaping»), этот маршрутизатор не сможет вычленить из пакетов данных необходимую информацию и выполнить указанные функции.

Для устранения этой проблемы и согласования работы ФПСУ-IP и пограничных маршрутизаторов разработана специальная подсистема, позволяющая разделить поступающие в VPN-туннель данные на несколько (максимально сто двадцать восемь) различных потоков и связать номера этих потоков с различными номерами IP-протоколов. Соответствие номеров потоков данных, отправляемых с ФПСУ-IP, номерам IP-протоколов, по которым они будут отправлены, выглядит следующим образом:

Поток №1 (поток по умолчанию) — 53 номер IP протокола или UDP:30004 (если протокол между ФПСУ-IP выбран UDP).

Остальные потоки идут подряд, начиная с 110 номера IP протокола или UDP:55 000:

Поток №2 — 110 номер IP протокола / UDP:55 000;

Поток №3 — 111 номер IP протокола / UDP:55 001;

Поток №128 — 226 номер IP протокола / UDP:55 126.

Обратите внимание, что для эффективной совместной работы ФПСУ-IP и пограничных маршрутизаторов по формированию потоков требуется согласование их конфигураций. Однако если это условие не выполняется, фатальных ошибок при передаче данных не произойдет и данные по VPN-туннелю будут доставлены в любом случае. Если ФПСУ-IP конфигурирован на разделение потоков, а один из пограничных маршрутизаторов (или даже все) - не конфигурирован, удаленный ФПСУ-IP получит посылаемые с конфигурируемого ФПСУ-IP данные в IP-пакетах с номером протокола 53 в заголовке пакета (по маршруту, который конфигурирован на пограничных маршрутизаторах для этого протокола). Установки удаленного ФПСУ-IP по разделению потоков не влияют на выполнение описываемой функции конфигурируемым ФПСУ-IP.

Правила разделения потоков устанавливаются индивидуально для каждого VPN-туннеля, образуемого конфигурируемым ФПСУ-IP с соседними ФПСУ-IP, при описании параметров порта (см. пункт «Описание параметров удаленных ФПСУ-IP»). Однако с целью облегчения конфигурационных работ можно создать сначала «библиотеку» описателей правил, или общие правила-шаблоны, используемые потом в качестве заготовок при установке индивидуальных для каждого VPN-туннеля правил разделения потоков.

Общие правила разделения потоков могут быть описаны с использованием соответствующей команды меню конфигурации ФПСУ-IP. ВНИМАНИЕ! Операция по определению общих правил носит абстрактный характер, установленные здесь правила при работе комплекса не используются, а только служат «заготовками» при формировании параметров порта конфигурируемого ФПСУ-IP. Поэтому порядок следования общих правил в списке не имеет значения.

protocol_img1_060722

По активизации команды «Общие правила разделения потоков» на экране появляется окно, содержащее список установленных общих правил или пустое, если правила еще не описывались.

protocol_img2_060722

Чтобы добавить новое общее правило, следует нажать клавишу <Ins>, после чего открывается окно «Установка нового общего правила разделения потоков».

Чтобы установить правило, по которому поступающий в VPN-туннель со стороны конфигурируемого ФПСУ-IP IP-пакет будет направлен в определенный выходной поток, следует указать ФПСУ-IP номер IP-протокола, данные которого будут содержать пакет, IP-адрес (или диапазон адресов) отправителя (абонента, посылающего пакет со стороны конфигурируемого ФПСУ-IP) и адрес (или диапазон адресов) получателя (абонента, которому предназначается пакет).

Если какой-либо критерий правила не имеет значения для направления пакета в тот или иной выходной поток (например, в поток направляются любые данные, отправляемые любыми абонентами по конкретному IP-адресу), в соответствующих полях устанавливаются значения «Любой» (для протокола) или «Произвольный» (для адресов).

protocol_img3_060722

Чтобы установить для выходного потока какой-либо конкретный протокол, нужно установить курсор на строку «Любой» под заголовком «Протокол» и нажать клавишу <Пробел>, затем в открывшемся списке протоколов установить курсор на нужный протокол и нажать <Enter> или <Пробел>, после чего будет осуществлен выход в окно установки описываемого правила. Если указанный протокол требует установки дополнительных параметров (например, номера начального и конечного портов для протоколов TCP или UDP), в окне появятся соответствующие поля ввода, в которые можно ввести либо номера портов (после чего в нижележащей строке будет отображено название «прикрепленного» к этому порту протокола, если оно есть), либо установить курсор на строку под полем ввода и нажать <Пробел>, после чего в появившемся списке отметить номер (или соответствующий протокол) нужного порта (в случае, если номер порта не превышает 1023).

Для установки IP-адресов отправителей и получателей следует поместить курсор на нужную строку, нажать <Пробел> и набрать в появившихся полях ввода адрес и маску (если в качестве отправителя и/или получателя могут выступать подсети).

После описания всех критериев правила следует выбрать номер выходного потока, для чего требуется перейти в поле «Выходной поток», и указать номер (номер выходного потока должен соответствовать номеру протокола, который будет использован для формирования данного потока при конфигурировании пограничного маршрутизатора). По активизации поля «Сохранить» подсистема конфигурирования осуществит выход в окно списка установленных общих правил.

Над установленными общими правилами в списке можно осуществить следующие операции:

редактировать текущее правило (по нажатию <Enter>);

удалить текущее правило (по нажатию <Del>).

ВНИМАНИЕ! При выделении в отдельный поток данных протоколов, допускающих динамическое изменение номеров портов (например, FTP), правила направления IP-пакетов в этот поток могут работать некорректно (хотя пакеты в любом случае будут доставлены удаленному комплексу ФПСУ-IP). Если администратору обязательно требуется сформировать отдельный FTP-поток, рекомендуется использовать с этой целью поток по умолчанию (см. раздел Описание параметров удаленных ФПСУ-IP). Для этого все прочие данные распределяются по каким-либо определенным потокам, а в качестве потока по умолчания устанавливается поток, соответствующий номеру протокола, конфигурированного на пограничном маршрутизаторе для требуемого маршрута передачи данных FTP-протокола.