Использование совмещенных VPN-туннелей

ФПСУ-IP C является центральным сервером VPN-сети, организованной по топологии "звезда". В данном варианте конфигурации будут созданы всего два VPN-туннеля, показанные на рисунке ниже:

При этом для обмена данными защищаемыми областями будут использоваться следующие туннели:

•VPN-1 - обмен области А с областью С;

•VPN-2 - обмен области В с областью С;

•VPN-1 и VPN-2 - обмен области А с областью В.

Конфигурация комплексов должна содержать следующие установки:

Для ФПСУ-IP А:

Установлены выработанные ЦВК ключи парно-выборочной связи номер 1. Ключи номер 1 в настройках ФПСУ-IP А указаны как используемые.

Порт 1:

Номер 1;

Адрес 192.168.1.50;

Маска 255.255.255.0 (24 разряда);

ФПСУ не определены;

Маршрутизаторы не определены;

Абоненты:

Подсеть, 192.168.1.0; 255.255.255.0 (24 разряда); ретрансляция;

режим партнера этого порта - выключен;

режим партнера другого порта - включен только режим через ФПСУ;

флаг "Только Broadcast" выключен;

флаг "Отвечать на Ping" - на усмотрение администратора;

флаг "Работа разрешена" включен.

Порт 2:

Номер 2;

Адрес 192.168.1.50;

Маска 255.255.255.0 (24 разряда);

ФПСУ:

192.168.3.50, ключевые данные - 3.1; смена через 30 сек;

сжатие и криптозащита - "желательно" или "обязательно";

через маршрутизатор 192.168.1.1;

Маршрутизаторы

192.168.1.1, протоколы маршрутизации - на усмотрение администратора;

флаг "Отвечать на Ping" - на усмотрение администратора;

Абоненты:

Подсеть, 192.168.2.0; 255.255.255.0 (24 разряда);

через ФПСУ 192.168.3.50;

режим партнера этого порта - включен только режим через ФПСУ;

режим партнера другого порта - включены все режимы;

флаг "Только Broadcast" выключен;

флаг "Отвечать на Ping" - на усмотрение администратора;

флаг "Работа разрешена" включен.

Подсеть, 192.168.3.0; 255.255.255.0 (24 разряда);

через ФПСУ 192.168.3.50;

режим партнера этого порта - включен только режим через ФПСУ;

режим партнера другого порта - включены все режимы;

флаг "Только Broadcast" выключен;

флаг "Отвечать на Ping" - на усмотрение администратора;

флаг "Работа разрешена" включен.

Для ФПСУ-IP В:

Установлены выработанные ЦВК ключи парно-выборочной связи номер 2. Ключи номер 2 в настройках ФПСУ-IP B указаны как используемые.

Порт 1:

Номер 1;

Адрес 192.168.2.50;

Маска 255.255.255.0 (24 разряда);

ФПСУ не определены;

Маршрутизаторы не определены;

Абоненты:

Подсеть, 192.168.2.0; 255.255.255.0 (24 разряда); ретрансляция;

режим партнера этого порта - выключен;

режим партнера другого порта - включен только режим через ФПСУ;

флаг "Только Broadcast" выключен;

флаг "Отвечать на Ping" - на усмотрение администратора;

флаг "Работа разрешена" включен.

Порт 2:

Номер 2;

Адрес 192.168.2.50;

Маска 255.255.255.0 (24 разряда);

ФПСУ:

192.168.3.50, ключевые данные - 3.1; смена через 30 сек;

сжатие и криптозащита - "желательно" или "обязательно";

через маршрутизатор 192.168.2.1

Маршрутизаторы:

192.168.2.1, протоколы маршрутизации - на усмотрение администратора;

флаг "Отвечать на Ping" - на усмотрение администратора;

Абоненты:

Подсеть, 192.168.1.0; 255.255.255.0 (24 разряда);

через ФПСУ 192.168.3.50;

режим партнера этого порта - включен только режим через ФПСУ;

режим партнера другого порта - включены все режимы;

флаг "Только Broadcast" выключен;

флаг "Отвечать на Ping" - на усмотрение администратора;

флаг "Работа разрешена" включен.

Подсеть, 192.168.3.0; 255.255.255.0 (24 разряда);

через ФПСУ 192.168.3.50;

режим партнера этого порта - включен только режим через ФПСУ;

режим партнера другого порта - включены все режимы;

флаг "Только Broadcast" выключен;

флаг "Отвечать на Ping" - на усмотрение администратора;

флаг "Работа разрешена" включен.

Для ФПСУ-IP С:

Установлены выработанные ЦВК ключи парно-выборочной связи номер 3. Ключи номер 3 в настройках ФПСУ-IP C указаны как используемые.

Порт 1:

Номер 1;

Адрес 192.168.3.50;

Маска 255.255.255.0 (24 разряда);

ФПСУ не определены;

Маршрутизаторы не определены;

Абоненты:

Подсеть, 192.168.3.0; 255.255.255.0 (24 разряда); ретрансляция;

режим партнера этого порта - выключен;

режим партнера другого порта - включен только режим через ФПСУ;

флаг "Только Broadcast" выключен;

флаг "Отвечать на Ping" - на усмотрение администратора;

флаг "Работа разрешена" включен.

Порт 2:

Номер 2;

Адрес 192.168.3.50;

Маска 255.255.255.0 (24 разряда);

ФПСУ:

192.168.1.50, ключевые данные - 1.1; смена через 30 сек;

сжатие и криптозащита - "желательно" или "обязательно";

через маршрутизатор 192.168.3.1

192.168.2.50, ключевые данные - 2.1; смена через 30 сек;

сжатие и криптозащита - "желательно" или "обязательно";

через маршрутизатор 192.168.3.1

Маршрутизаторы:

192.168.3.1,

протоколы маршрутизации - на усмотрение администратора;

флаг "Отвечать на Ping" - на усмотрение администратора;

Абоненты:

Подсеть, 192.168.1.0; 255.255.255.0 (24 разряда);

через ФПСУ 192.168.1.50;

режим партнера этого порта - включен только режим через ФПСУ;

режим партнера другого порта - включены все режимы;

флаг "Только Broadcast" выключен;

флаг "Отвечать на Ping" - на усмотрение администратора;

флаг "Работа разрешена" включен.

Подсеть, 192.168.2.0; 255.255.255.0 (24 разряда);

через ФПСУ 192.168.2.50;

режим партнера этого порта - включен только режим через ФПСУ;

режим партнера другого порта - включены все режимы;

флаг "Только Broadcast" выключен;

флаг "Отвечать на Ping" - на усмотрение администратора;

флаг "Работа разрешена" включен.

Только на ФПСУ-IP С для подсети 192.168.3.0 должно быть разрешено управление маршрутизаторами 192.168.1.1, 192.168.2.1, 192.168.3.1 (см. раздел «DHCP-Relay»).

Необходимо также переконфигурировать пограничные маршрутизаторы с целью запрещения доступа к ним по протоколам сетевого управления с внешних портов.