Подсистема разделения IP-потоков

При обмене информацией между двумя «ФПСУ-IP», работающими в паре в режиме защиты передаваемой информации от НСД, данные абонента передаются по сети в туннелированном виде. В процессе упаковки данных абонента в VPN-туннель производится сокрытие объектов/субъектов передачи и прикладных сервисов, так что любая рабочая станция на пути следования IP-пакетов от одного «ФПСУ-IP» к другому может «видеть» в их IP-заголовках только IP-адреса отправляющего и получающего «ФПСУ-IP» и номер IP-протокола, по которому осуществляется обмен между «ФПСУ-IP».

Поэтому, если на пути следования таких пакетов находится транзитный маршрутизатор, реализующий функцию «shaping» (ограничение полосы пропускания по различным критериям) и/или конфигурированный на использование различных маршрутов для доставки данных в одно и то же место назначения, такой маршрутизатор не может самостоятельно выделить из передаваемых данных необходимые ему для реализации указанных функций признаки.

Для ликвидации этой проблемы и согласования работы «ФПСУ-IP» и транзитных маршрутизаторов разработана специальная подсистема, позволяющая разделить поступающие в VPN-туннель данные на несколько (максимально сто двадцать восемь, 128) различных потоков и помещать в выходные VPN-пакеты признаки (различные номера IP-протоколов), которые могут быть использованы транзитными маршрутизаторами (при соответствующих установках в их конфигурации).

Понятно, что для эффективной совместной работы «ФПСУ-IP» и транзитных маршрутизаторов по разделению и передаче потоков требуется согласование их конфигураций. Однако, если это условие не выполняется, фатальных ошибок при передаче данных не произойдёт и данные по VPN-туннелю будут доставлены в любом случае.

Правила разделения потоков должны быть установлены индивидуально для каждого VPN‑туннеля, создаваемого парой совместно работающих «ФПСУ-IP».

В качестве критериев правил формирования потоков могут быть использованы:

•номер IP-протокола, данные которого будут содержать IP-пакеты;

•конкретные номера портов (для протоколов TCP и UDP), по которым направляются IP‑пакеты;

•IP-адрес (индивидуальный или диапазон адресов) отправителя;

•IP-адрес (индивидуальный или диапазон адресов) получателя.

При выделении в отдельный поток данных протоколов, допускающих динамическое изменение номеров портов (например, FTP), правила направления IP-пакетов в этот поток могут работать некорректно (хотя пакеты в любом случае будут доставлены удалённому «ФПСУ‑IP»). Эта проблема может быть решена при помощи «инвертирования» потоков, при котором формируются несколько конкретных потоков для IP-пакетов протоколов, использующих неизменные номера портов, а прочие не описанные явно протоколы направляются в так называемый «поток по умолчанию», который будет передаваться с «ФПСУ-IP» в IP-пакетах, содержащих в заголовке номер IP-протокола, конфигурированного на транзитном маршрутизаторе для требуемого маршрута передачи данных FTP-протокола.

Используя подсистему разделения потоков, можно формировать специальные потоки для обмена данными между «ФПСУ-IP» и их удалёнными администраторами (при условии, что этот обмен производится через ещё один «ФПСУ-IP») и при помощи транзитных маршрутизаторов направлять эти потоки по желаемому маршруту.