Режим «Мост» между ФПСУ-IP (L2-шифрование) |
Режим моста предназначен для передачи всех входящих сетевых фреймов (L2) с одного порта ФПСУ-IP в туннель к другому ФПСУ-IP без дополнительной проверки и фильтрации. Режим моста может быть включен только для одного туннеля между ФПСУ-IP. Для перехода в окно выбора действующего режима следует установить курсор на поле «Мост» и нажать клавишу <Пробел>. Режим моста для туннеля между ФПСУ-IP может находиться в следующих состояниях: Выключен — в туннеле между двумя ФПСУ-IP не используется режим моста. Включен — в туннеле используется режим моста; ФПСУ-IP будет использовать пакеты увеличенного размера (Jumbo-Frame) для передачи инкапсулированных фреймов, размером до 15854 байт, в зависимости от типа сетевого адаптера. Предназначен для создания «моста» с удаленным ФПСУ-IP. ВНИМАНИЕ! Передача Jumbo-Frame корректно работает только при выборе DPDK драйверов для сетевых адаптеров! (см. пункт «Конфигурация драйверов сетевых адаптеров»). Включен без Jumbo-Frame — в туннеле используется режим моста; в этом режиме IP пакеты обычной длины (пакеты размером более 1460 байт, в зависимости от настроек MTU туннеля между ФПСУ-IP и задействованных Ethernet сервисов) после инкапсуляции превысят 1500 байт и будут разбиты на два пакета, что и может вызвать ухудшение скоростных характеристик. Поток — опциональный параметр. Укажите номер выходного потока (см. пункт «Общие правила разделения потоков»), в который будут инкапсулированы передаваемые в режиме моста пакеты. ВНИМАНИЕ! Для задания отличного от автоматически определенного MTU передаваемых в режиме моста данных, требуется обязательно установить номер потока (от 1 до 8), и затем в настройках выходных потоков туннеля указать для установленного потока желаемый MTU. ВНИМАНИЕ! Во избежании потерь в производительности ФПСУ-IP по причине дефрагментации/фрагментации пакетов, MTU на сетевом адаптере, на котором добавлен описатель другого ФПСУ-IP в режиме мост, рекомендуется установить на 100 меньше чем установленный MTU для остальных сетевых адаптеров (см. пункт «Конфигурация драйверов сетевых адаптеров»). При включенном для туннеля между ФПСУ-IP режиме моста, все приходящие на другой порт ФПСУ-IP кадры будут приняты и ретранслированы в данный туннель, кроме следующих: •кадров, отправленные в MAC-адрес портов ФПСУ-IP; •пакетов от абонентов, описанных на портах ФПСУ-IP. Полученные из работающего в режиме моста туннеля пакеты, отправленные не в MAC-адрес портов ФПСУ-IP, будут ретранслированы на другой порт, вне зависимости от типа кадра (unicast, broadcast) или содержимого верхнего уровня. Передаваемые в работающий в режиме моста туннель данные инкапсулируются вместе с заголовком канального уровня, в отличие от обычного режима туннеля, когда инкапсулируются данные только начиная с сетевого уровня (выполняется инкапсуляция Ethernet в IP, а не IP в IP). ВНИМАНИЕ! ФПСУ-IP не выполняет фильтрацию пакетов, ретранслируемых в работающий в режиме моста туннель и получаемых из работающего в режиме моста пакетов, если эти пакеты были направлены не в МАС-адрес портов ФПСУ-IP. Для пакетов, отправленных в MAC-адрес портов ФПСУ-IP, фильтрация по правилам ФПСУ-IP выполняется в обычном порядке. ВНИМАНИЕ! ФПСУ-IP, работающий в режиме моста, запрещается указывать в качестве основного шлюза на рабочей станции! Требуется обратить особое внимание при добавлении абонентов и маршрутизаторов в конфигурацию ФПСУ-IP, имеющему мостовой туннель. При задействованном механизме ARP-proxy в локальной сети может произойти обновление ARP-таблиц рабочих станций, и абоненты начнут обращаться в MAC-адрес ФПСУ-IP, что приведет к обычной фильтрации этих пакетов по правилам межсетевого экрана, с возможно блокировкой их передачи. В конфигурации ФПСУ-IP только один туннель может быть настроен на работу в режиме моста. Режим моста предполагается задействовать в ситуациях, когда требуется объединить распределенную локальную сеть, создав защищенный механизм передачи данных без изменения сетевой конфигурации и добавления новых маршрутов. В приведенной на рисунке схеме требуется передавать пакеты внутри локальной сети, разделенной географически. Для того, чтобы организовать такую «прозрачную» защищенную передачу данных, достаточно на внешних портах ФПСУ 1 и ФПСУ 2 создать описатель партнера по шифрованию и включить режим моста для туннеля ФПСУ 1 ↔ ФПСУ 2. При этом на внутренних портах ФПСУ 1 и ФПСУ 2 не должно быть описано абонентов (хостов, подсетей, записи «любой хост») - пакеты от явно указанных на портах ФПСУ-IP абонентов не передаются в туннель типа «мост». ВНИМАНИЕ! Исключение. Если используется удаленное администрирование ФПСУ-IP, задействованными в режиме моста, то рабочее место с АРМ УА необходимо указать в конфигурации ФПСУ-IP в качестве абонента! Например, на схеме выше, если АРМ УА находится в защищаемой с помощью ФПСУ 1 подсети слева, то его IP-адрес должен быть указан в качестве абонента на внешнем порту ФПСУ 2 и на внутреннем порту ФПСУ 1. Нажмите кнопку «Сохранить» или клавишу <F2> для выхода из окна с сохранением выполненных изменений, и клавишу <Esc> для выхода без сохранения. ВНИМАНИЕ! При включении режима «мост» разрешается использовать горячий резерв по основным портам. |