Описание параметров туннелей с другими ФПСУ |
В поле ФПСУ порта ФПСУ-IP необходимо описать все другие ФПСУ-IP, которые будут участвовать в создании VPN-туннелей передачи данных между защищаемыми ими абонентами (сетями) и абонентами настраиваемого ФПСУ-IP. Сохранить созданный описатель другого ФПСУ-IP возможно только в том случае, если соответствующие ключи, полученные от «Центра выработки ключей», установлены на ФПСУ-IP и указаны к использованию (см. разделы «Установка ключей» и «Использование ключей»). Максимальное количество ФПСУ-IP, которое может быть описано на порту — 1024. Примечание. Для модификации ULT10G при дополнительном лицензировании максимальное количество ФПСУ-IP, описанных в конфигурации может быть увеличено до 10240. Чтобы создать новый описатель, установите курсор на поле «ФПСУ» и нажмите <Ins>, а чтобы отредактировать отмеченный описатель – нажмите клавишу <Enter> или <Пробел> при установленном на нём курсоре. В окне установки параметров укажите следующие основные параметры, необходимые для установки соединения между ФПСУ‑IP: Адрес – IP-адрес ФПСУ-IP, с которым будет устанавливаться туннель; Имя – символьное имя этого ФПСУ-IP, оно будет отображаться в списке ФПСУ‑IP на экране порта. По умолчанию совпадает со значением поля «Адрес». Ключи – обязательный параметр, определяющий какие именно ключи парно-выборочной связи, из числа установленных и разрешенных к использованию на ФПСУ-IP, будут применяться в процессе шифрования. Для перехода к установке выделите курсором строку «Ключи» и нажмите <Пробел>. В открывшемся окне укажите криптосеть, номер и комплект используемых другим ФПСУ-IP ключей (комплект указывается только для ключей класса КС2).
Определите время, по истечении которого при взаимодействии другого ФПСУ-IP с конфигурируемым на основе выделенных ключей парно-выборочной связи будут вырабатываться новые сеансовые ключи (от 20 до 3600 секунд). Фактически, это время является временем проверки работоспособности VPN-соединения между двумя ФПСУ-IP, поэтому установка большого промежутка времени смены ключей может привести к увеличению времени реакции на потерю соединения (передаваемого на службы мониторинга SysLog или удаленного администратора ФПСУ-IP). При установке времени смены необходимо учитывать, что при выработке новых сеансовых ключей между двумя ФПСУ-IP будут производиться обмены данными (по два IP-пакета общим размером 80 байт). «Времена смены» могут быть различны на двух ФПСУ-IP, участвующих в процессе образования и поддержания VPN-туннеля. Затем воспользуйтесь командой «Сохранить <F2>», после чего произойдет возврат в окно «ФПСУ». Маршрутизаторы – маршрутизаторы, через которые может осуществляться связь с описываемым удаленным ФПСУ-IP. Окно содержит список маршрутизаторов, которые заранее были созданы администратором (см. пункт «Описание параметров используемых маршрутизаторов»). ФПСУ-IP из списка можно приписывать к различным маршрутизаторам, регламентируя тем самым нагрузку на маршрутизаторы. Следует особо отметить ситуацию, когда конфигурируемый ФПСУ-IP имеет несколько смежных маршрутизаторов, которые могут направлять ему ICMP-сообщения переадресации (Redirect) на другой маршрутизатор. Эти сообщения будут учитываться ФПСУ-IP следующим образом: •если в поле «Маршрутизаторы» при описании параметров работы конфигурируемого порта с удаленным ФПСУ-IP ни один маршрутизатор не отмечен (символом «→»), сообщение переадресации принимается ФПСУ-IP только в том случае, если оно получено от любого прописанного на принимающем порту маршрутизатора и переадресовывает IP-пакеты на любой другой прописанный на этом порту маршрутизатор. •если в поле «Маршрутизаторы» есть отмеченные (символом «→») маршрутизаторы, то сообщение переадресации может быть принято только от одного из них и только в том случае, если в качестве нового маршрутизатора указывается также один из таких маршрутизаторов (в этом случае в конфигурации ФПСУ-IP должно быть указано как минимум два маршрутизатора). В остальных случаях при передаче IP-пакетов удаленному ФПСУ-IP сообщения переадресации в адрес конфигурируемого ФПСУ-IP будут сброшены. Отметить маршрутизатор символом «→» можно по нажатию клавиши <Пробел> на строке с выбранным маршрутизатором. VLAN – справочный параметр, номер виртуальной локальной сети, в которой участвует маршрутизатор. Остальные параметры для установления туннеля между ФПСУ-IP описываются в пунктах «Дополнительные параметры соединения ФПСУ-ФПСУ» и «Потоки данных в туннеле между ФПСУ». Когда все требуемые параметры в окне «ФПСУ» определены, следует активизировать команду «Сохранить» или нажать клавишу <F2>, после чего осуществится выход в окно установки параметров порта, в котором имя описанного ФПСУ-IP появится в списке, а внизу окна будут отображаться основные параметры его работы. Если какой-либо ФПСУ-IP больше не существует или не участвует в работе, и его описатель не нужен, отметьте его и нажмите <Del> для удаления. В этом случае для всех абонентов, работающих через ФПСУ-IP с удаленным описателем, доступ будет автоматически запрещен. |