Использование ФПСУ-IP для создания VPN-туннелей |
Рассмотрим ситуацию, когда сеть организации представляет из себя отдельные локальные IP-подсети, разделенные территориально и связанные через участки WAN-сети общего пользования. В таком случае, для обеспечения защищенного взаимодействия локальных подсетей, необходимо на выходе каждой из них установить ФПСУ-IP (со стороны внутреннего порта пограничного маршрутизатора) и организовать между ФПСУ-IP VPN-туннели через WAN-сеть общего доступа, по которым данные абонентов будут передаваться с использованием всех механизмов защиты, включая аутентификацию и, возможно, сжатие. Предположим, что организация использует следующие IP-адреса: •защищаемая область А - 192.168.1.0, маска 255.255.255.0 (24 бита); •защищаемая область В - 192.168.2.0, маска 255.255.255.0 (24 бита); •защищаемая область С - 192.168.3.0, маска 255.255.255.0 (24 бита); •внутренний порт маршрутизатора А -192.168.1.1; •внутренний порт маршрутизатора В -192.168.2.1; •внутренний порт маршрутизатора С -192.168.3.1. Для ФПСУ-IP в каждой подсети будут выделены адреса .50. На работу сети наложены следующие ограничения: •хосты из всех защищаемых областей должны иметь круглосуточный доступ друг к другу; •управление пограничными маршрутизаторами (А, В, С) должно осуществляться только из защищаемой области С. После установки ФПСУ-IP сеть организации имеет вид, представленный на рисунке ниже. С точки зрения конфигурирования ФПСУ-IP А, В и С для работы в условиях такой топологии и удовлетворения наложенных требований принципиальным является следующее: •со стороны внутреннего порта каждого ФПСУ-IP (например, порта 1) существует одна соответствующая IP-подсеть, а со стороны порта 2 принадлежащих этой подсети хостов нет; маршрутизаторы и ФПСУ-IP отсутствуют; •со стороны порта 2 существуют две IP-подсети, а со стороны порта 1 хостов, принадлежащих этим подсетям, нет; доступ к ним будет осуществляться через соответствующий удаленный ФПСУ-IP; •обмен между защищаемыми областями должен производиться только внутри организованных ФПСУ-IP VPN-туннелей; •на каждом ФПСУ-IP должны быть установлены ранее выработанные криптографические ключи парно-выборочной связи. Причем на ФПСУ-IP А указан используемый номер ключа 1, на ФПСУ-IP В - номер 2 и на ФПСУ-IP С - номер 3; •со стороны внешнего порта ФПСУ-IP установлены пограничные маршрутизаторы, управление которыми должно осуществляться только из защищаемой области С, причем каналы управления маршрутизаторами за пределами их внешних портов должны быть защищены ФПСУ-IP. В данном случае возможны два различных варианта конфигурации ФПСУ-IP, которые описаны ниже. |