Описание абонента «Хост» |
Записи типа «Хост» предназначены для явного указания на порту ФПСУ-IP IP‑адресов абонентов, которые смогут передавать через ФПСУ-IP данные абонентам противоположного и/или данного порта в случае соблюдения совокупности правил фильтрации, определенной для них администратором. Для описания индивидуального хоста укажите следующие параметры: Важный объект – флаг в положении «включено» запрещает удалять описание абонента из интерфейса портов ФПСУ-IP. Признак «Важный объект» добавлен как дополнительная защита от случайного удаления записи при редактировании конфигурации. VLAN – номер виртуальной локальной сети, в которой участвует данный IP-адрес, если требуется. Только для абонентов в режиме «Ретрансляция». Адрес – IP-адрес рабочей станции. Имя – имя абонента, которое будет отображаться в списке. МАС – Только для абонентов в режиме «Ретрансляция». Статически заданный аппаратный адрес для этого абонента. Если параметр задан, ФПСУ-IP будет отправлять пакеты в адрес этого абонента именно на указанный аппаратный адрес, вне зависимости от приходящих на ФПСУ-IP ARP-пакетов от IP-адреса абонента. Проверять MAC – Только для абонентов типа «Хост», работающих в режиме «Ретрансляция». Требует заполненного поля «MAC». При включенной опции, ФПСУ-IP проверяет полученные от IP-адреса абонента пакеты на соответствие указанному MAC-адресу. Если MAC-адрес полученного пакета от IP-адреса описываемого абонента не совпадает с указанным в поле «MAC», пакет будет сброшен. Поток – для описываемого абонента можно установить номер потока (от 1 до 128), в который будут направлены обмены абонента при передаче данных в туннеле между ФПСУ-IP. Режим работы: «Ретрансляция» (фильтрация без аутентификации) или «Через ФПСУ» (обмен между абонентом и портом ФПСУ-IP будет производиться через туннель со смежным ФПСУ-IP. В этом режиме возможно включение механизмов шифрования и/или сжатия передаваемых данных). •«Ретрансляция» (обмен данных ФПСУ-IP с абонентом осуществляется без шифрования, соединения с ним только фильтруются межсетевым экраном). Выберите этот режим, если описываемый абонент подключен к настраиваемому ФПСУ-IP напрямую, то есть пакеты от него приходят в обычном виде, а не через VPN-туннель. Например, на рисунке ниже для ФПСУ-IP А это будут абоненты «а1», «а2», «b1»и «b2»; для ФПСУ-IP B это будут абоненты «b1», «b2», «In1» и «In2»; а для ФПСУ-IP C это будут абоненты «с1», «с2», «In1» и «In2». При выборе режима «Ретрансляция», в правой части окна будет отображаться список маршрутизаторов, описанных со стороны данного порта. Если абонент доступен через какой-либо маршрутизатор, то такой маршрутизатор следует отметить нажатием клавиши <Пробел> (если в списке нет маршрутизаторов, необходимо сначала описать их). Заметим, что администратор может регламентировать нагрузку на маршрутизаторы, приписывая различных абонентов к определенным маршрутизаторам. При передаче IP-пакетов описываемому абоненту ФПСУ-IP будет учитывать ICMP сообщения переадресации (см. пункт «Описание параметров удаленных ФПСУ-IP»). Режим работы партнеров абонента •«Через ФПСУ» (обмен между абонентом и портом ФПСУ-IP будет производиться через туннель со смежным ФПСУ-IP. В режиме возможно включение механизмов шифрования и/или сжатия передаваемых данных). Выберите этот режим, если описываемый абонент подключается к настраиваемому ФПСУ-IP через установленный VPN-туннель с другим ФПСУ-IP. Например, для ФПСУ-IP А это будут «Абонент In1 через ФПСУ-IP B» или «Абонент с1 через ФПСУ-IP B»; для ФПСУ-IP B это будут «Абонент с1 через ФПСУ-IP С» или «Абонент а2 через ФПСУ-IP А»; для ФПСУ-IP С это будут «Абонент a2 через ФПСУ-IP B» или «Абонент b2 через ФПСУ-IP B». В случае указания режима работы «Через ФПСУ» в правой части окна будет отображен список линий смежных ФПСУ-IP (если список пуст, вернитесь к процедурам, описанным ранее). При помощи клавиши <Пробел> отметьте имя удаленного ФПСУ-IP, через который будет доступен абонент (слева от строки появится значок отметки). Для абонента требуется выбрать основную линию ФПСУ-IP, через туннель с которым будут передаваться данные. Если абонент может передавать данные через внешнюю сеть по нескольким маршрутам, то в настройках ФПСУ-IP есть возможность указать резервный (запасной) ФПСУ-IP, через туннель с которым будут передаваться данные в случае невозможности организовать туннель с основным ФПСУ-IP. Выберите описатель ФПСУ-IP, который требуется назначить запасным, и нажмите <Alt+R>. Нажмите <Alt+С> чтобы поменять для данного абонента основной ФПСУ-IP и запасной. Например, на рис. «Использование основной и резервной (запасной) линий ФПСУ-IP» данные от «Абонент а» до «Абонент b» могут идти двумя путями: •Абонент а → ФПСУ-IP А → туннель А-B → ФПСУ-IP B → Абонент b; •Абонент а → ФПСУ-IP А → туннель A-C → ФПСУ-IP C → Абонент b. В таком случае, «Абонент b» может быть описан на ФПСУ-IP А как абонент, работающий в режиме «Через ФПСУ» с указанием основной линии, идущей через ФПСУ-IP B и резервной (запасной) линии, идущей через ФПСУ-IP С. Если абонент подключается через цепочку туннелей к настраиваемому ФПСУ-IP (как, например «Абонент с1» на рис. «Режим работы партнеров абонента» при настройке взаимодействия через ФПСУ-IP А, подключается через два тоннеля — туннель ФПСУ-IP С-ФПСУ-IP B и туннель ФПСУ-IP B-ФПСУ-IP А), то указывать следует ближайший ФПСУ-IP (в приведенном примере это ФПСУ-IP B). Использование основной и резервной (запасной) линий ФПСУ-IP Для каждого описываемого абонента может быть установлено дополнительное правило фильтрации по режиму работы с другими зарегистрированными на настраиваемом ФПСУ-IP абонентами, которые называются партнерами описываемого абонента. Настраивается в поле «Режим партнера». Режим партнера - режим работы, указываемый для партнера (абонента), с которым может обмениваться пакетами данный абонент. Знак [X] около соответствующей строки означает отсутствие, для данного абонента, принципиального запрета возможности работать с партнерами, для которых установлен указанный режим работы на одном из портов. Партнер данного порта — это абонент, зарегистрированный на том же логическом порту ФПСУ, что и описываемый абонент (например, при добавлении абонента на логический порт с номером 1 партнерами данного порта являются все абоненты, описанные на логическом порте с номером 1 настраиваемого ФПСУ). Партнер данного порта в режиме «Ретрансляция» — это абонент, зарегистрированный на том же логическом порту, что и описываемый абонент, который подключен к настраиваемому ФПСУ-IP напрямую. Например, на рис. «Режим работы партнеров абонента» для ФПСУ-IP С и описываемого на нем «Абонента а1» партнером данного порта в режиме ретрансляция является «Абонент In1» или «Абонент In2»; для ФПСУ-IP B и описываемого «Абонента a2» таким партнером является «Абонент b2». Партнер данного порта в режиме «Через ФПСУ» — это абонент, зарегистрированный на том же логическом порту, что и описываемый абонент, который подключен к настраиваемому ФПСУ-IP через установленный VPN-туннель с другим ФПСУ-IP. Например, на рис. «Режим работы партнеров абонента» для ФПСУ-IP С и описываемого на нем «Абонента с1» партнером данного порта в режиме «Через ФПСУ» является «Абонент b2» или «Абонент а1»; для ФПСУ-IP А и описываемого на нем «Абонента b1» таким партнером является «Абонент In2» или «Абонент с2». Партнер другого порта — это абонент, зарегистрированный на другом логическом порту ФПСУ, относительно описываемого абонента (например, при добавлении абонента на первый логический порт партнерами другого порта являются все абоненты, описанные на втором логическом порту). Партнер другого порта в режиме «Ретрансляция» — это абонент, зарегистрированный на другом логическом порту ФПСУ-IP, относительно описываемого абонента, который подключен к настраиваемому ФПСУ-IP напрямую. Например, для ФПСУ-IP В и описываемого «Абонента b1» партнером другого порта в режиме «Ретрансляция» является «Абонент In1» или «Абонент In2»; для ФПСУ-IP С и описываемого «Абонента с1» таким партнерами тоже являются «Абонент In1» или «Абонент In2». Партнер другого порта в режиме «Через ФПСУ» — это абонент, зарегистрированный на другом логическом порту ФПСУ-IP относительно описываемого абонента, который подключен к настраиваемому ФПСУ-IP через установленный VPN-туннель с другим ФПСУ-IP. Например, для ФПСУ-IP А и описываемого «Абонента а1» партнерами другого порта в режиме «Через ФПСУ» являются «Абонент с1» или «Абонент in1»; для ФПСУ-IP С и описываемого «Абонента с2» такими партнерами являются «Абонент а2» или «Абонент b2». Режим партнера устанавливается отдельно для каждого абонента порта комплекса, причем: •для партнера со стороны данного (своего) порта могут быть разрешены один или оба режима, а отказ от обоих режимов означает запрещение описываемому абоненту обмениваться IP пакетами с абонентами со стороны своего порта; •для партнера со стороны противоположного порта должен быть разрешен хотя бы один режим работы, иначе пакеты данного абонента не смогут быть переданы через комплекс (о чем подсистема выдаст сообщение при последующей попытке сохранить установки), отметка обоих режимов работы означает отсутствие ограничения по режиму работы. Отвечать на Ping - указание конфигурируемому ФПСУ-IP отвечать на ICMP (ECHO) пакеты, направленные от IP-адреса описываемого абонента в IP-адреса портов ФПСУ-IP. Отметка (разрешение отвечать на запросы) производится по нажатию клавиши <Пробел>. Необходимо заметить, что ФПСУ-IP отвечает только на те ICMP (ECHO) запросы, которые поступили на адреса его портов в одном IP-пакете (т.е. не были фрагментированы в процессе доставки). Это означает, что размер пакета, на который будет вырабатываться ответ, зависит от MTU маршрута: если пакет ICMP (ECHO) запроса передается по локальной сети, он не должен превышать 1464 байта, а если он передан через маршрутизатор - не должен превышать MTU за вычетом 40 байт. Повторное описание абонента с IP-адресом, совпадающим с ранее определенным адресом, недопустимо (подсистема конфигурирования выдаст соответствующее предупреждение). |