Управление конфигурациями ФПСУ-IP > Массовое изменение конфигураций по шаблону
Previous 

Изменение общих параметров

 Next

При выборе текущего режима массового изменения конфигураций «Изменить общие параметры», администратор может изменять в списке выбранных конфигураций следующие параметры ФПСУ-IP:

 

oФлаг «Аварийный перезапуск». Если при работе ФПСУ-IP происходит аппаратный сбой сетевых адаптеров, ФПСУ-IP способен детектировать это событие и выдать на экран монитора специальное сообщение, сопровождающееся звуковым сигналом, после чего через некоторое время ПО сетевых адаптеров и ПО ФПСУ-IP автоматически перегрузятся, после чего и ФПСУ-IP попытается восстановить работу режима фильтрации пакетов. В диалоговом поле строки укажите время, в течение которого будет выдаваться сообщение перед перезагрузкой (в диапазоне от 5 секунд до 1 часа).

Если автоматический перезапуск не нужен (например, необходимо ознакомиться с диагностикой неполадок, выданной на экран монитора), оставьте поле пустым; в таком случае при возникновении аппаратного сбоя сообщение, сопровождаемое звуковым сигналом, будет выдаваться до его отмены администратором при локальном управлении.

Флаг «Переход на резервный». Если при работе ФПСУ-IP получает сигнал от сетевой аппаратуры об отсутствии физического соединения на каком-либо из рабочих портов, ФПСУ-IP может передать управление партнеру по системе горячего резервирования. В диалоговом поле строки укажите время, по истечении которого будет задействован резервный ФПСУ-IP (в диапазоне от 5 до 255 секунд), или оставьте поле пустым, если такая операция не требуется.

Список параметров. Выбрать параметр для изменения можно, установив флаг в столбце «Изм» в строке параметра, и указав значение параметра - установленный флаг в столбце «Знач» означает, что опция активирована. Подробное описание параметров приведено в руководствах «Программно-аппаратный комплекс «ФПСУ-IP 3.X»» и «Криптомаршрутизатор и межсетевой экран «ФПСУ-IP Amigo» версии 4. Руководство по эксплуатации» в пункте «Общие параметры конфигурации ФПСУ-IP».

«Ограничения по сбору статистики». Установленный флаг активирует одноименную кнопку, нажатие на которую позволяет наложить ограничения на сбор регистрационной информации ФПСУ-IP:

 

Флаг «Пакеты с SourceRoute». Опция SourceRoute, если она содержится в заголовке IP пакета, требует, чтобы пакет следовал по указанному ею маршруту, что может приводить к передаче пакета в обход ФПСУ-IP и нарушению безопасности. С другой стороны, игнорирование этой опции может влиять на работу сети и приводить к каким-либо другим нарушениям. Поэтому администратор в индивидуальном порядке должен решить, как ФПСУ-IP будет обрабатывать эту опцию и указать это в описываемом поле.

ФПСУ-IP предоставляет три возможных способа обработки опции SourсeRoute:

oНе пропускать — пакеты, содержащие эту опцию, сбрасываются без отправки сообщения;

oУдалить эту опцию — передать пакет получателю (если он удовлетворяет требованиям фильтрации), но удалить заданный маршрут и передать пакет по маршруту, который установил при конфигурировании для данного абонента администратор;

oПередать не изменяя — передать пакет, оставив опцию без изменения.

Установленный флаг «Режим работы с ARP» позволяет выбирать режим формирования ARP-таблицы на ФПСУ-IP. Возможны два варианта настройки:

oARP-запросы + трафик — опция по умолчанию, ARP-таблица формируется из ответов на собственные ARP-запросы, а также из входящих пакетов, передаваемых через ФПСУ-IP;

oТолько ARP-запросы — при выборе этой опции, ARP-таблица формируется только из ответов на собственные ARP-запросы. Рекомендуется при использовании ФПСУ-IP вместе со сторонними решениями оптимизации передаваемого трафика (таких как Riverbed SteelHand).

DNS-серверы - задание IP-адреса основного и дополнительного DNS-сервера. IP-адреса DNS-серверов должны быть предварительно добавлены в конфигурации порта ФПСУ-IP как абоненты - записи типа «Хост» или «Подсеть», для которых установлен флаг «Работа разрешена».

Совместимость СКЗИ:

oУстановленный флаг «Изменить параметры» разрешает тестовую работу ФПСУ-IP с пользователями ПАК ФПСУ-IP/Клиент, которые используют СКЗИ предыдущих версий. Возможные параметры:

КРОМЕ Тун 1 —принимаются пользовательские подключения от ПАК ФПСУ-IP/Клиент, на которых установлена версия СКЗИ, отличная от «Туннель/Клиент»;

КРОМЕ Тун 2 — принимаются пользовательские подключения от ПАК ФПСУ-IP/Клиент, на которых установлена версия СКЗИ, отличная от «Туннель 2.0»;

Полная — принимаются пользовательские подключения от ПАК ФПСУ-IP/Клиент с любой версией СКЗИ;

Отключена — принимаются пользовательские подключения только от ПАК ФПСУ-IP/Клиент с последней версией СКЗИ.

oПриоритет Магма - при установлении флага передаваемые данные между ФПСУ-IP и ФПСУ-IP/Клиентом будут шифроваться по алгоритму «Магма», если и ФПСУ-IP, и ФПСУ-IP/Клиент поддерживают этот алгоритм.

oЗапрет ГОСТ 89 (Все протоколы) - при установлении флага на ФПСУ-IP будут запрещены любые соединения, использующие алгоритм шифрования ГОСТ 28147-89.

oНастройка криптопротоколов ФПСУ-IP/ФПСУ-IP - опции, устанавливающие работу ФПСУ-IP с ФПСУ-IP в режиме шифрования по заданному алгоритму:

Кузнечик-MGM - флаг, разрешающий шифрование данных блочным шифром «Кузнечик» в режиме MGM (Multilinear Galois Mode), активируется лицензией;

Магма-MGM - флаг, разрешающая шифрование данных блочным шифром «Магма» в режиме MGM, активируется лицензией. Если опция «Приоритет Кузнечик» не установлена, то работа ФПСУ-IP будет происходить по алгоритму шифрования «Магма MGM», в случае если партнер поддерживает этот алгоритм;

Магма - флаг, разрешающая работу по алгоритму шифрования «Магма». Если опция «Приоритет ГОСТ» не установлена, то работа ФПСУ-IP будет происходить по алгоритму шифрования «Магма», в случае если партнер поддерживает этот алгоритм.

ГОСТ 28147-89 - флаг, разрешающий работу по алгоритму шифрования ГОСТ 28147-89.

Приоритет ГОСТ - при установке флага передаваемые данные между ФПСУ-IP будут шифроваться по алгоритму ГОСТ 28147-89, в случае если этот алгоритм не запрещен у партнера. Если флаг «ГОСТ 28147-89» не установлен, данная опция недоступна.

Приоритет Кузнечик - при установке флага передаваемые данные между ФПСУ-IP будут шифроваться по алгоритму «Кузнечик MGM», в случае если партнер поддерживает этот алгоритм. Если флаг «Кузнечик-MGM» не установлен, данная опция недоступна.

Горячий резерв:

oУстановленный флаг «Отключение LAN» позволяет ФПСУ-IP горячего резерва, работающего в данный момент в пассивном режиме, отключать все сетевые адаптеры, кроме адаптера, соединяющего с партнером по резервированию. Данный механизм позволяет сетевым устройствам класса сетевой коммутатор (switсh) быстрее обновить таблицу соответствия МАС-адреса ФПСУ-IP физическому порту коммутатора при переключении управления между основным и резервным комплексами.

oУстановленный флаг «Дополнительные порты горячего резерва» позволяет комплексу устанавливать через сетевые адаптеры, настроенные как рабочие порты 1 и/или 2, туннель с партнером горячего резерва. Без включения данной опции туннель между комплексами ФПСУ-IP, работающими в режиме горячего резервирования, устанавливается через специально выделенные для этой цели дополнительные LAN-адаптеры. Опция не работает со включенной опцией «Отключение LAN». Опция не работает, если для рабочего порта ФПСУ-IP настроен работающий в режиме моста туннель.

o«Не сообщать об устаревших ключах». Установленный флаг активирует опцию. Если на ФПСУ-IP установлены ключевые данные класса КС3, то ФПСУ-IP при старте выдает информационное оповещение об истечении срока действия ключей. Для отмены выдачи такого информационного оповещения следует включить опцию «Не сообщать об устаревших ключах», установив второй флаг. По умолчанию опция отключена.

oПримечание. При использовании ФПСУ-IP по классу КС3, в настройках должен быть включен режим информирования об использовании ключа при превышении срока его действия (опция «Не сообщать об устаревших ключах» должна быть отключена).

oАвтовыбор канала резервирования - опция, позволяющая в случае обрыва канального соединения переключаться на следующий активный канал связи с партнером по горячему резервированию (в том числе доступно переключение на резервный канал связи с использованием «рабочих» интерфейсов).

oСинхронизация сессий МЭ - опция, позволяющая передавать активные сессии абонентов при передаче управления партнеру по горячему резервированию. При включении такой синхронизации работа сетевых сервисов абонентов не прерывается из-за передачи управления горячему резерву.

oВыбор VLAN для работы каналов резервирования - назначение тега VLAN для каналов «горячего» резервирования. Фреймы «горячего» резервирования будут тегированы соответствующим идентификатором VLAN. Для включения данной опции должен быть задан хотя бы один Дополнительный интерфейс горячего резерва. Рабочие интерфейсы - поля 3 и 4 - это 1 и 2 LAN-адаптеры в настройках конфигурации. Выделенные интерфейсы - поля 1 и 2 - это 3 и 4 LAN-адаптеры в настройках конфигурации для горячего резерва.

По нажатию клавиши <F2> изменения общих параметров будут внесены в конфигурацию.

Данные настройки могут быть сохранены в качестве шаблона. Для этого необходимо дать название шаблону в поле «Шаблон» и нажать кнопку «Сохранить параметры шаблона». Сохраненные в УА ФПСУ-IP шаблоны отображаются в списке «Шаблон» и могут быть применены в дальнейшем.