Примеры настройки ФПСУ-IP
Previous 

Разделение подсети на два фрагмента ФПСУ-IP на уровне маршрутизации

Next

Представим теперь, что до установки ФПСУ-IP существовала одна IP-подсеть с адресом 203.0.113.0 и маской 255.255.255.0, которую необходимо разделить физически на два независимых фрагмента (например, по функциональному признаку) без переконфигурирования программного обеспечения хостов, причем требуется регламентировать обмены данными между хостами независимых фрагментов. Отметим, что в предыдущем примере (см. пункт «Защита локальной сети, состоящей из двух IP-подсетей») разделение абонентов на две подсети было логическим, то есть для его осуществления была необходима особая конфигурация TCP/IP-стека защищаемых хостов, при изменении которой выполнение наложенных в примере требований было бы невозможно. В данном примере рассматривается физическое разделение подсети, при котором абоненты отдельных фрагментов физически не могут обмениваться пакетами друг с другом в обход комплекса ФПСУ-IP.

IP-адреса 1 и 2 портов ФПСУ-IP совпадают, для ФПСУ-IP это допустимо, если в локальной сети доступно ограниченное количество свободных IP-адресов.

После установки ФПСУ-IP сеть имеет вид, изображенный на рисунке ниже.

Помимо физического разделения на работу двух подсетей накладываются следующие требования:

хосты области 1, исключая хост 203.0.113.1, и все хосты области 2 должны иметь полный доступ друг к другу, в том числе должна обеспечиваться возможность поиска и подключения сетевых дисков;

хост 203.0.113.1 не должен иметь доступа в область 2.

С точки зрения конфигурирования ФПСУ-IP, для работы в условиях такой топологии и удовлетворения наложенных требований принципиальным является следующее:

со стороны портов 1 и 2 ФПСУ-IP существует одна и та же IP-подсеть, маршрутизаторы и другие ФПСУ-IP отсутствуют;

обмен хостов через комплекс может производиться только в режиме ретрансляции, сжатие и криптозащита не применимы;

работа с ключевыми данными при такой топологии не производится;

абоненту с IP-адресом 203.0.113.1 должен быть запрещен обмен пакетами с абонентами со стороны порта 2;

для обеспечения поиска и подключения сетевых дисков необходимо разрешить передачу через ФПСУ-IP широковещательных пакетов.

Конфигурация ФПСУ-IP должна содержать следующие установки:

Порт 1:

Номер 1;

Адрес 203.0.113.7;

Маска 255.255.255.0 (24 разряда);

ФПСУ не определены;

Маршрутизаторы не определены;

Абоненты:

Подсеть; 203.0.113.0; 255.255.255.0 (24 разряда);

режим работы ретрансляция;

режим партнера этого порта - выключен;

режим партнера другого порта - включен только в ретрансляции;

флаг "Только Broadcast" выключен;

флаг "Отвечать на Ping" - на усмотрение администратора;

флаг "Работа разрешена" включен.

Хост; 203.0.113.1;

режим работы ретрансляция;

режим партнера этого порта - выключен;

режим партнера другого порта - включен только в ретрансляции;

флаг "Отвечать на Ping" - выключен;

флаг "Работа разрешена" выключен.

Порт 2:

Номер 2;

Адрес 203.0.113.7;

Маска 255.255.255.0 (24 разряда);

ФПСУ не определены;

Маршрутизаторы не определены;

Абоненты:

Подсеть 203.0.113.0; 255.255.255.0 (24 разряда);

режим работы ретрансляция;

флаг "Только Broadcast" включен;

флаг "Работа разрешена" включен.

Хост; 203.0.113.5;

режим работы ретрансляция;

режим партнера этого порта - выключен;

режим партнера другого порта - включен только в ретрансляции;

флаг "Отвечать на Ping" - на усмотрение администратора;

флаг "Работа разрешена" включен.

Хост; 203.0.113.6;

режим работы ретрансляция;

режим партнера этого порта - выключен;

режим партнера другого порта - включен только в ретрансляции;

флаг "Отвечать на Ping" - на усмотрение администратора;

флаг "Работа разрешена" включен.

Хост; 203.0.113.8;

режим работы ретрансляция;

режим партнера этого порта - выключен;

режим партнера другого порта - включен только в ретрансляции;

флаг "Отвечать на Ping" - на усмотрение администратора;

флаг "Работа разрешена" включен.

Хост; 203.0.113.9;

режим работы ретрансляция;

режим партнера этого порта - выключен;

режим партнера другого порта - включен только в ретрансляции;

флаг "Отвечать на Ping" - на усмотрение администратора;

флаг "Работа разрешена" включен.

 

Исходя из принципов конфигурирования ФПСУ-IP, со стороны одного из портов (в текущем примере - с порта 1) описана вся подсеть через хост вида «подсеть» с указанием адреса и маски сети (это сделано для простоты конфигурирования, чтобы не указывать индивидуальные адреса всех входящих в подсеть со стороны данного порта хостов), а со стороны противоположного порта - указаны индивидуальные адреса хостов, физически присутствующих с этой стороны, для регламентирования передачи индивидуальных пакетов и один повторный описатель типа «Подсеть» для регламентации широковещательных передач.

Для абонента 203.0.113.1 запрещение работы с абонентами области 2 осуществляется через выключение флага «Работа разрешена».