Previous 

Режим «Мост» между ФПСУ-IP (L2-шифрование)

Next

Режим моста предназначен для передачи всех входящих сетевых фреймов (L2) с одного порта ФПСУ-IP в туннель к другому ФПСУ-IP без дополнительной проверки и фильтрации. Режим моста может быть включен только для одного туннеля между ФПСУ-IP.

Для перехода в окно выбора действующего режима следует установить курсор на поле «Мост» и нажать клавишу <Пробел>.

port_img18_280622

Режим моста для туннеля между ФПСУ-IP может находиться в следующих состояниях:

Выключен — в туннеле между двумя ФПСУ-IP не используется режим моста.

Включен — в туннеле используется режим моста; ФПСУ-IP будет использовать пакеты увеличенного размера (Jumbo-Frame) для передачи инкапсулированных фреймов, размером до 15854 байт, в зависимости от типа сетевого адаптера. Предназначен для создания «моста» с удаленным ФПСУ-IP. ВНИМАНИЕ! Передача Jumbo-Frame корректно работает только при выборе DPDK драйверов для сетевых адаптеров! (см. пункт «Конфигурация драйверов сетевых адаптеров»).

Включен без Jumbo-Frame — в туннеле используется режим моста; в этом режиме IP пакеты обычной длины (пакеты размером более 1460 байт, в зависимости от настроек MTU туннеля между ФПСУ-IP и задействованных Ethernet сервисов) после инкапсуляции превысят 1500 байт и будут разбиты на два пакета, что и может вызвать ухудшение скоростных характеристик.

Поток — опциональный параметр. Укажите номер выходного потока (см. пункт «Общие правила разделения потоков»), в который будут инкапсулированы передаваемые в режиме моста пакеты. ВНИМАНИЕ! Для задания отличного от автоматически определенного MTU передаваемых в режиме моста данных, требуется обязательно установить номер потока (от 1 до 8), и затем в настройках выходных потоков туннеля указать для установленного потока желаемый MTU.

ВНИМАНИЕ! Во избежании потерь в производительности ФПСУ-IP по причине дефрагментации/фрагментации пакетов,  MTU на сетевом адаптере, на котором добавлен описатель другого  ФПСУ-IP в режиме мост, рекомендуется установить на 100 меньше чем установленный MTU для остальных сетевых адаптеров (см. пункт «Конфигурация драйверов сетевых адаптеров»).

При включенном для туннеля между ФПСУ-IP режиме моста, все приходящие на другой порт ФПСУ-IP кадры будут приняты и ретранслированы в данный туннель, кроме следующих:

кадров, отправленные в MAC-адрес портов ФПСУ-IP;

пакетов от абонентов, описанных на портах ФПСУ-IP.

Полученные из работающего в режиме моста туннеля пакеты, отправленные не в MAC-адрес портов ФПСУ-IP, будут ретранслированы на другой порт, вне зависимости от типа кадра (unicast, broadcast) или содержимого верхнего уровня.

Передаваемые в работающий в режиме моста туннель данные инкапсулируются вместе с заголовком канального уровня, в отличие от обычного режима туннеля, когда инкапсулируются данные только начиная с сетевого уровня (выполняется инкапсуляция Ethernet в IP, а не IP в IP).

ВНИМАНИЕ! ФПСУ-IP не выполняет фильтрацию пакетов, ретранслируемых в работающий в режиме моста туннель и получаемых из работающего в режиме моста пакетов, если эти пакеты были направлены не в МАС-адрес портов ФПСУ-IP. Для пакетов, отправленных в MAC-адрес портов ФПСУ-IP, фильтрация по правилам ФПСУ-IP выполняется в обычном порядке.

ВНИМАНИЕ! ФПСУ-IP, работающий в режиме моста, запрещается указывать в качестве основного шлюза на рабочей станции!

Требуется обратить особое внимание при добавлении абонентов и маршрутизаторов в конфигурацию ФПСУ-IP, имеющему мостовой туннель. При задействованном механизме ARP-proxy в локальной сети может произойти обновление ARP-таблиц рабочих станций, и абоненты начнут обращаться в MAC-адрес ФПСУ-IP, что приведет к обычной фильтрации этих пакетов по правилам межсетевого экрана, с возможно блокировкой их передачи.

В конфигурации ФПСУ-IP только один туннель может быть настроен на работу в режиме моста.

Режим моста предполагается задействовать в ситуациях, когда требуется объединить распределенную локальную сеть, создав защищенный механизм передачи данных без изменения сетевой конфигурации и добавления новых маршрутов.

port_img45_300822

В приведенной на рисунке схеме требуется передавать пакеты внутри локальной сети, разделенной географически. Для того, чтобы организовать такую «прозрачную» защищенную передачу данных, достаточно на внешних портах ФПСУ 1 и ФПСУ 2 создать описатель партнера по шифрованию и включить режим моста для туннеля ФПСУ 1 ↔ ФПСУ 2.

При этом на внутренних портах ФПСУ 1 и ФПСУ 2 не должно быть описано абонентов (хостов, подсетей, записи «любой хост») - пакеты от явно указанных на портах ФПСУ-IP абонентов не передаются в туннель типа «мост».

ВНИМАНИЕ! Исключение. Если используется удаленное администрирование ФПСУ-IP, задействованными в режиме моста, то рабочее место с АРМ УА необходимо указать в конфигурации ФПСУ-IP в качестве абонента! Например, на схеме выше, если АРМ УА находится в защищаемой с помощью ФПСУ 1 подсети слева, то его IP-адрес должен быть указан в качестве абонента на внешнем порту ФПСУ 2 и на внутреннем порту ФПСУ 1.

Нажмите кнопку «Сохранить» или клавишу <F2> для выхода из окна с сохранением выполненных изменений, и клавишу <Esc> для выхода без сохранения.

ВНИМАНИЕ! При включении режима «мост» разрешается использовать горячий резерв по основным портам.