Описание параметров туннелей с другими ФПСУ

В поле ФПСУ порта ФПСУ необходимо описать все другие ФПСУ, которые будут участвовать в создании VPN-туннелей передачи данных между защищаемыми ими абонентами (сетями) и абонентами настраиваемого ФПСУ.

Сохранить созданный описатель другого ФПСУ возможно только в том случае, если соответствующие ключи, полученные от «Центра выработки ключей», установлены на ФПСУ и указаны к использованию (см. разделы «Установка ключей» и «Использование ключей»).

Максимальное количество ФПСУ, которое может быть описано на порту — 1024.

Примечание. Для модификации ULT10G при дополнительном лицензировании максимальное количество ФПСУ, описанных в конфигурации может быть увеличено до 10240.

Чтобы создать новый описатель, установите курсор на поле «ФПСУ» и нажмите <Ins>, а чтобы отредактировать отмеченный описатель – нажмите клавишу <Enter> или <Пробел> при установленном на нём курсоре. В окне установки параметров укажите следующие основные параметры, необходимые для установки соединения между ФПСУ‑IP:

Адрес – IP-адрес ФПСУ, с которым будет устанавливаться туннель;

Имя – символьное имя этого ФПСУ, оно будет отображаться в списке ФПСУ‑IP на экране порта. По умолчанию совпадает со значением поля «Адрес».

Ключи – обязательный параметр, определяющий какие именно ключи парно-выборочной связи, из числа установленных и разрешенных к использованию на ФПСУ, будут применяться в процессе шифрования.

Для перехода к установке выделите курсором строку «Ключи» и нажмите <Пробел>. В открывшемся окне укажите криптосеть, номер и комплект используемых другим ФПСУ ключей (комплект указывается только для ключей класса КС2).

Определите время, по истечении которого при взаимодействии другого ФПСУ с конфигурируемым на основе выделенных ключей парно-выборочной связи будут вырабатываться новые сеансовые ключи (от 20 до 3600 секунд). Фактически, это время является временем проверки работоспособности VPN-соединения между двумя ФПСУ, поэтому установка большого промежутка времени смены ключей может привести к увеличению времени реакции на потерю соединения (передаваемого на службы мониторинга SysLog или удаленного администратора ФПСУ).

При установке времени смены необходимо учитывать, что при выработке новых сеансовых ключей между двумя ФПСУ будут производиться обмены данными (по два IP-пакета общим размером 80 байт). «Времена смены» могут быть различны на двух ФПСУ, участвующих в процессе образования и поддержания VPN-туннеля.

Затем воспользуйтесь командой «Сохранить <F2>», после чего произойдет возврат в окно «ФПСУ».

Маршрутизаторы – маршрутизаторы, через которые может осуществляться связь с описываемым удаленным ФПСУ. Окно содержит список маршрутизаторов, которые заранее были созданы администратором (см. пункт «Описание параметров используемых маршрутизаторов»).

ФПСУ из списка можно приписывать к различным маршрутизаторам, регламентируя тем самым нагрузку на маршрутизаторы. Следует особо отметить ситуацию, когда конфигурируемый ФПСУ имеет несколько смежных маршрутизаторов, которые могут направлять ему ICMP-сообщения переадресации (Redirect) на другой маршрутизатор. Эти сообщения будут учитываться ФПСУ следующим образом:

•если в поле «Маршрутизаторы» при описании параметров работы конфигурируемого порта с удаленным ФПСУ ни один маршрутизатор не отмечен (символом «→»), сообщение переадресации принимается ФПСУ только в том случае, если оно получено от любого прописанного на принимающем порту маршрутизатора и переадресовывает IP-пакеты на любой другой прописанный на этом порту маршрутизатор.

•если в поле «Маршрутизаторы» есть отмеченные (символом «→») маршрутизаторы, то сообщение переадресации может быть принято только от одного из них и только в том случае, если в качестве нового маршрутизатора указывается также один из таких маршрутизаторов (в этом случае в конфигурации ФПСУ должно быть указано как минимум два маршрутизатора).

В остальных случаях при передаче IP-пакетов удаленному ФПСУ сообщения переадресации в адрес конфигурируемого ФПСУ будут сброшены.

Отметить маршрутизатор символом «→» можно по нажатию клавиши <Пробел> на строке с выбранным маршрутизатором.

VLAN – справочный параметр, номер виртуальной локальной сети, в которой участвует маршрутизатор.

Остальные параметры для установления туннеля между ФПСУ описываются в пунктах «Дополнительные параметры соединения ФПСУ-ФПСУ» и «Потоки данных в туннеле между ФПСУ».

Когда все требуемые параметры в окне «ФПСУ» определены, следует активизировать команду «Сохранить» или нажать клавишу <F2>, после чего осуществится выход в окно установки параметров порта, в котором имя описанного ФПСУ появится в списке, а внизу окна будут отображаться основные параметры его работы.

Если какой-либо ФПСУ больше не существует или не участвует в работе, и его описатель не нужен, отметьте его и нажмите <Del> для удаления. В этом случае для всех абонентов, работающих через ФПСУ с удаленным описателем, доступ будет автоматически запрещен.