Режим «Мост» между ФПСУ-IP (L2-шифрование)

Режим моста предназначен для передачи всех входящих сетевых фреймов (L2) с одного порта ФПСУ-IP в туннель к другому ФПСУ-IP без дополнительной проверки и фильтрации. Режим моста может быть включен только для одного туннеля между ФПСУ-IP версии ниже 4.

Для перехода в окно выбора действующего режима следует установить курсор на поле «Мост» и нажать клавишу <Пробел>.

Режим моста для туннеля между ФПСУ-IP может находиться в следующих состояниях:

Выключен — в туннеле между двумя ФПСУ-IP не используется режим моста.

Включен — в туннеле используется режим моста; ФПСУ-IP будет использовать пакеты увеличенного размера (Jumbo-Frame) для передачи инкапсулированных фреймов, размером до 15854 байт, в зависимости от типа сетевого адаптера. Предназначен для создания «моста» с удаленным ФПСУ-IP. ВНИМАНИЕ! Передача Jumbo-Frame корректно работает только при выборе DPDK драйверов для сетевых адаптеров! (см. пункт «Конфигурация драйверов сетевых адаптеров»).

Включен без Jumbo-Frame — в туннеле используется режим моста; в этом режиме IP пакеты обычной длины (пакеты размером более 1460 байт, в зависимости от настроек MTU туннеля между ФПСУ-IP и задействованных Ethernet сервисов) после инкапсуляции превысят 1500 байт и будут разбиты на два пакета, что и может вызвать ухудшение скоростных характеристик.

Порт — обязательный параметр, в туннель в режиме моста будут передаваться пакеты только от указанного порта ФПСУ-IP.

VLAN — опциональный параметр, в туннель в режиме моста будут передаваться пакеты только с интерфейсов с указанным VLAN или диапазоном VLAN.

Магистральный режим — используется,когда размер MTU на порту увеличен по сравнению со стандартным, при включении флага последовательность полученных фреймов объединяется в один, пока не получится фрейм с указанным размером MTU. Объединенный «большой» фрейм отсылается с указанного для моста туннельного порта. Например, если на порту установлен MTU 9000 байт, фреймы будут объединяться в один фрейм размером 9000 байт.

Принимать ошибочные пакеты (SBP) — установленный флаг включает приём непринятых пакетов (Store Broken Packets), поврежденных пакетов  по причине неверной длины, либо испорченных пакетов. Режим будет включён, если сетевая карта его поддерживает. (Поддерживается ФПСУ версии 4, начиная с билда 1683.)

Поток — опциональный параметр. Укажите номер выходного потока (см. пункт «Общие правила разделения потоков»), в который будут инкапсулированы передаваемые в режиме моста пакеты. ВНИМАНИЕ! Для задания отличного от автоматически определенного MTU передаваемых в режиме моста данных, требуется обязательно установить номер потока (от 1 до 8), и затем в настройках выходных потоков туннеля указать для установленного потока желаемый MTU.

ВНИМАНИЕ! Во избежании потерь в производительности ФПСУ-IP по причине дефрагментации/фрагментации пакетов,  MTU на сетевом адаптере, на котором добавлен описатель другого  ФПСУ-IP в режиме мост, рекомендуется установить на 100 меньше чем установленный MTU для остальных сетевых адаптеров (см. пункт «Конфигурация драйверов сетевых адаптеров»).

При включенном для туннеля между ФПСУ-IP режиме моста, все приходящие на другой порт ФПСУ-IP кадры будут приняты и ретранслированы в данный туннель, кроме следующих:

•кадров, отправленные в MAC-адрес портов ФПСУ-IP;

•пакетов от абонентов, описанных на портах ФПСУ-IP.

Полученные из работающего в режиме моста туннеля пакеты, отправленные не в MAC-адрес портов ФПСУ-IP, будут ретранслированы на другой порт, вне зависимости от типа кадра (unicast, broadcast) или содержимого верхнего уровня.

Передаваемые в работающий в режиме моста туннель данные инкапсулируются вместе с заголовком канального уровня, в отличие от обычного режима туннеля, когда инкапсулируются данные только начиная с сетевого уровня (выполняется инкапсуляция Ethernet в IP, а не IP в IP).

ВНИМАНИЕ! ФПСУ-IP не выполняет фильтрацию пакетов, ретранслируемых в работающий в режиме моста туннель и получаемых из работающего в режиме моста пакетов, если эти пакеты были направлены не в МАС-адрес портов ФПСУ-IP. Для пакетов, отправленных в MAC-адрес портов ФПСУ-IP, фильтрация по правилам ФПСУ-IP выполняется в обычном порядке.

ВНИМАНИЕ! ФПСУ-IP, работающий в режиме моста, запрещается указывать в качестве основного шлюза на рабочей станции!

Требуется обратить особое внимание при добавлении абонентов и маршрутизаторов в конфигурацию ФПСУ-IP, имеющему мостовой туннель. При задействованном механизме ARP-proxy в локальной сети может произойти обновление ARP-таблиц рабочих станций, и абоненты начнут обращаться в MAC-адрес ФПСУ-IP, что приведет к обычной фильтрации этих пакетов по правилам межсетевого экрана, с возможно блокировкой их передачи.

В конфигурации ФПСУ-IP версии ниже 4 только один туннель может быть настроен на работу в режиме моста.

В конфигурации ФПСУ-IP версии 4 на работу в режиме моста может быть настроено больше одного туннеля.

Режим моста предполагается задействовать в ситуациях, когда требуется объединить распределенную локальную сеть, создав защищенный механизм передачи данных без изменения сетевой конфигурации и добавления новых маршрутов.

В приведенной на рисунке схеме требуется передавать пакеты внутри локальной сети, разделенной географически. Для того, чтобы организовать такую «прозрачную» защищенную передачу данных, достаточно на внешних портах ФПСУ 1 и ФПСУ 2 создать описатель партнера по шифрованию и включить режим моста для туннеля ФПСУ 1 ↔ ФПСУ 2.

При этом на внутренних портах ФПСУ 1 и ФПСУ 2 не должно быть описано абонентов (хостов, подсетей, записи «любой хост») - пакеты от явно указанных на портах ФПСУ-IP абонентов не передаются в туннель типа «мост».

ВНИМАНИЕ! Исключение. Если используется удаленное администрирование ФПСУ-IP, задействованными в режиме моста, то рабочее место с АРМ УА необходимо указать в конфигурации ФПСУ-IP в качестве абонента! Например, на схеме выше, если АРМ УА находится в защищаемой с помощью ФПСУ 1 подсети слева, то его IP-адрес должен быть указан в качестве абонента на внешнем порту ФПСУ 2 и на внутреннем порту ФПСУ 1.

Нажмите кнопку «Сохранить» или клавишу <F2> для выхода из окна с сохранением выполненных изменений, и клавишу <Esc> для выхода без сохранения.

ВНИМАНИЕ! При включении режима «мост» разрешается использовать горячий резерв по основным портам.