Использование ФПСУ в режиме моста (L2 шифрование)

Предположим, что IP-сеть организации до установки ФПСУ-IP представляла одну подсеть с IP-адресом 192.168.1.0 и маской 255.255.255.0 (24 разряда), требуется передавать пакеты внутри локальной сети, разделенной географически. Для того, чтобы организовать такую «прозрачную» защищенную передачу данных, достаточно на внешних портах ФПСУ А и ФПСУ В создать описатель партнера по шифрованию и включить режим моста для туннеля ФПСУ А ↔ ФПСУ В.

При этом на внутренних портах ФПСУ А и ФПСУ В не должно быть описано абонентов (хостов, подсетей, записи «любой хост») - пакеты от явно указанных на портах ФПСУ-IP абонентов не передаются в туннель типа «мост» (подробнее см. пункт «Режим «Мост» между ФПСУ-IP (L2-шифрование)»):

Используются следующие IP-адреса:

•защищаемая область А - 192.168.1.0, маска 255.255.255.0 (24 бита);

•внутренний порт ФПСУ А -192.168.1.50;

•внешний порт ФПСУ А -203.0.113.1;

•внутренний порт ФПСУ В -192.168.1.51;

•внешний порт ФПСУ В -203.0.113.2.

С точки зрения конфигурирования ФПСУ-IP А для работы в условиях такой топологии принципиальным является следующее:

•со стороны внутреннего порта ФПСУ-IP А (порта 1 со стороны области А) существует одна IP- подсеть,

•со стороны внешнего порта 2 принадлежащих этой подсети хостов нет; маршрутизаторы отсутствуют; ФПСУ-IP В описан в режиме моста;

•на ФПСУ-IP А должны быть установлены, и указаны как используемые, ранее выработанные ЦВК криптографические ключи номер 1.

С точки зрения конфигурирования ФПСУ-IP В для работы в условиях такой топологии принципиальным является следующее:

•со стороны внутреннего порта ФПСУ-IP В (порта 1 со стороны области В) существует одна (та же) IP- подсеть,

•со стороны внешнего порта 2 принадлежащих этой подсети хостов нет; маршрутизаторы отсутствуют; ФПСУ-IP А описан в режиме моста;

•на ФПСУ-IP В должны быть установлены, и указаны как используемые, ранее выработанные ЦВК криптографические ключи номер 2;

Конфигурация ФПСУ-IP должна содержать следующие установки:

Для ФПСУ-IP А:

Установлены выработанные ЦВК ключи парно-выборочной связи номер 1. Ключи номер 1 указаны как используемые.

Порт 1:

Номер 1,

Адрес 192.168.1.50,

Маска 255.255.255.0 (24 разряда),

ФПСУ не определены,

Маршрутизаторы не определены;

Абоненты:не определены;

Порт 2:

Номер 2,

Адрес 203.0.113.1,

Маска 255.255.255.0 (24 разряда);

ФПСУ:

203.0.113.2, ключевые данные - 2.1; смена через 30 сек;

сжатие и криптозащита - "желательно" или "обязательно";

мост - включен;

Маршрутизаторы:не определены;

Абоненты:не определены.

Для ФПСУ-IP В:

Установлены выработанные ЦВК ключи парно-выборочной связи номер 2. Ключи номер 2 указаны как используемые.