Файл: Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под.pdf

Технология ДИОНИС
Двухсегментная архитектура
Руководство по настройке изделий
и управлению их работой
RU
.НКБГ.30009-03 91
Под
пись
и
д
ат
а
Ин
в
.
№
д
уб
л
.
В
за
м
. ин
в
. №
1
729
Под
пись
и
д
ат
а
1
1
.10
.2
0
1
8
Ин
в
.
№
под
л
.
2049

Содержание
1.
Введение .................................................................................................................................................................... 6
1.1. Общие сведения ...................................................................................................................................................... 6 1.2. Двухсегментная архитектура технологии DioNIS® ............................................................................................ 7 1.3. Управление изделиями .......................................................................................................................................... 9
1.3.1. Архитектура системы управления ............................................................................................................... 9
1.3.2. Локальное управление ................................................................................................................................... 10
1.3.3. Удаленное управление ................................................................................................................................... 12
1.3.4. Общие вопросы управления работой изделия............................................................................................. 14
2.
Организация работы изделия с сетями передачи данных ............................................................................ 19
2.1. Общие сведения об интерфейсах ........................................................................................................................ 19 2.2. Конфигурирование сетевых интерфейсов ......................................................................................................... 21 2.3. Создание и настройка физических сетевых интерфейсов ................................................................................ 25
2.3.1. Ethernet-интерфейсы .................................................................................................................................... 25
2.3.2. L2–Eth-интерфейсы ...................................................................................................................................... 33
2.4. Создание и настройка виртуальных сетевых интерфейсов .............................................................................. 36
2.4.1. VLAN-интерфейсы ........................................................................................................................................ 36
2.4.1.1. Общие сведения ......................................................................................................................................................... 36 2.4.1.2. Создание и настройка VLAN-интерфейса. .............................................................................................................. 38
2.4.2. TNL-интерфейсы ........................................................................................................................................... 39
2.4.3. GRE-интерфейсы .......................................................................................................................................... 43
2.4.4. L2–VLAN-интерфейсы .................................................................................................................................. 46
2.4.4.1. Общие сведения ......................................................................................................................................................... 47 2.4.4.2. Создание и настройка L2–VLAN-интерфейса. ........................................................................................................ 47
2.4.5. L2–TNL-интерфейсы .................................................................................................................................... 49
2.5. Специальные настройки интерфейсов ............................................................................................................... 50 2.6. Средства оперативного контроля состояния интерфейсов ............................................................................... 52 2.7. Механизм PING-проб и автоматизация управления сетевыми IP-ресурсами ................................................ 58
2.7.1. Контроль доступности сетевых IP-устройств ........................................................................................ 58
2.7.2. Автоматизация управления маршрутизацией ........................................................................................... 59
2.7.3. Автоматизация управления активностью туннелей ................................................................................ 60
2.7.4. Автоматизация контроля работоспособности физических интерфейсов ............................................ 60
2.8. Поддержка MULTICAST-адресации .................................................................................................................. 60
2.8.1. Реализация MULTICAST-адресации ............................................................................................................ 61
2.8.2. Настройка изделия для работы с MULTICAST-группами ........................................................................ 62
2.9. Примеры настройки изделий............................................................................................................................... 62
2.9.1. Настройка изделий для обмена IP-датаграммами на L3-уровне ............................................................. 63
2.9.2. Настройка изделий для обмена Ethernet-кадрами на L2-уровне ............................................................... 67
3.
Средства защиты при обмене данными через сети ........................................................................................ 71
3.1. Криптографические туннели ............................................................................................................................... 73
3.1.1. Криптотуннели для защиты обмена IP-датаграммами на L3-уровне .................................................... 76
3.1.1.1. Принципы работы криптотуннелей на L3-уровне .................................................................................................. 76 3.1.1.2. Создание и настройка статических криптотуннелей .............................................................................................. 78 3.1.1.3. Создание и настройка TNL-интерфейсов ................................................................................................................ 85 3.1.1.4. Организация защиты трафика IP-датаграмм на L3-уровне .................................................................................... 85
3.1.2. Криптотуннели для защиты обмена Ethernet-кадрами на L2-уровне ..................................................... 86
3.1.2.1. Принципы работы криптотуннелей на L2-уровне .................................................................................................. 86 3.1.2.2. Создание и настройка L2–TNL-интерфейсов .......................................................................................................... 87 3.1.2.3. Организация защиты трафика Ethernet-кадров на L2-уровне ................................................................................ 88
3.1.3. Оперативное управление криптотуннелями изделия ................................................................................ 88
3.2. Фильтрация потоков данных ............................................................................................................................... 89
3.2.1. Фильтрация потоков IP-датаграмм .......................................................................................................... 90
3.2.1.1. Общие сведения о фильтрации потоков IP-датаграмм (L3-уровень) .................................................................... 90 3.2.1.2. Управление IP-фильтрами изделия .......................................................................................................................... 92 3.2.1.3. Создание и редактирование простых IP-фильтров ................................................................................................. 93 3.2.1.4. Алгоритм работы простого IP-фильтра ................................................................................................................... 96 3.2.1.5. Стратегии формирования IP-фильтров (на примере простых IP-фильтров) ......................................................... 98 3.2.1.6. Фильтры расширенного формата ........................................................................................................................... 100 3.2.1.7. Системные IP-фильтры ........................................................................................................................................... 104 3.2.1.8. Фильтры с отслеживанием состояния соединения ............................................................................................... 106 3.2.1.9. Фиксация последовательности обработки IP-датаграмм ..................................................................................... 108

Содержание 3
3.2.1.10. Отладка IP-фильтров ............................................................................................................................................. 109
3.2.2. Фильтрация потоков Ethernet-кадров .......................................................................................................109
3.2.2.1. Общие сведения о фильтрации потоков Ethernet-кадров (L2- уровень) ............................................................. 109 3.2.2.2. Создание и настройка таблиц фильтрации потоков Ethernet-кадров по MAC-адресам .................................... 109 3.3. Трансляция сетевых адресов (NAT/PAT-обработка) .......................................................................................111
3.3.1. Основы NAT-обработки ..............................................................................................................................112
3.3.2. NAT-обработка со статической таблицей IP-адресов ...........................................................................113
3.3.3. NAT-обработка с перегрузкой IP-адреса ...................................................................................................115
3.3.4. Полный алгоритм NAT-обработки ............................................................................................................117
3.3.5. Настройка NAT-обработчика ....................................................................................................................117
3.3.6. Пример использования NAT-обработчика .................................................................................................119
3.3.7. Оперативный контроль и управление состоянием NAT-обработчика ..................................................120
3.4. Групповая замена ключевых документов .........................................................................................................122
3.4.1. Общие сведения ............................................................................................................................................122
3.4.2. Принципы работы механизма замены ключевых документов по графику ............................................122
3.4.3. Настройка режима замены ключевых документов по графику .............................................................125
3.5. Алгоритм работы маршрутизаторов изделия ...................................................................................................127
4.
Настройка отдельных параметров ...................................................................................................................129
4.1. Настройка  Параметры ....................................................................................................................................129
4.1.1. Настройка

Параметры

Основные константы ............................................................................129
4.1.2. Настройка

Параметры

Параметры TCP/IP ................................................................................130
4.1.3. Настройка

Параметры

Трассировка ..............................................................................................131
4.1.4. Настройка

Параметры

Удаленная консоль ....................................................................................134
4.1.5. Настройка

Параметры

Служба времени .....................................................................................135
4.1.6. Настройка

Параметры

Параметры консоли .................................................................................137
4.1.7. Настройка

Параметры

Параметры журналов .............................................................................140
4.1.8. Настройка

Параметры

Архив конфигураций .................................................................................143
4.2. Настройка  Разное ...........................................................................................................................................146
4.2.1. Настройка

Разное

ARP-таблица ......................................................................................................146
4.2.2. Настройка

Разное

Таблица адресов .................................................................................................147
4.2.3. Настройка

Разное

PIng-пробы .........................................................................................................148
4.2.4. Настройка

Разное

Параметры LLDP..............................................................................................150
5.
Настройка служб ..................................................................................................................................................151
5.1. DCP .......................................................................................................................................................................152 5.2. SNTP .....................................................................................................................................................................152 5.3. SNMP ...................................................................................................................................................................153
5.3.1. Общие сведения ............................................................................................................................................153
5.3.2. Настройка SNMP-службы ..........................................................................................................................155
5.4. DNS ......................................................................................................................................................................157
5.4.1. Настройка DNS-службы.............................................................................................................................157
5.4.2. Работа DNS-службы...................................................................................................................................160
5.5. DHCP ....................................................................................................................................................................161
5.5.1. Общие сведения ............................................................................................................................................161
5.5.2. Настройка DHCP-службы .........................................................................................................................162
5.5.3. Работа DHCP-службы ...............................................................................................................................164
5.5.4. Взаимосвязь DHCP- и DNS-служб .............................................................................................................164
5.6. Telnet ....................................................................................................................................................................165 5.7. RIP ........................................................................................................................................................................165
5.7.1. Настройка RIP-службы ..............................................................................................................................166
5.7.2. Работа RIP-службы ....................................................................................................................................169

4
Содержание
7.
Организация функционирования кластера изделий ................................................................................... 174
7.1. Общие сведения .................................................................................................................................................. 174 7.2. Настройка изделий для запуска кластера ......................................................................................................... 175
8.
Главное меню. Альтернатива Консоль ............................................................................................................ 178
8.1. Консоль  Тестирование .................................................................................................................................. 178
8.1.1. Процедура PING .......................................................................................................................................... 178
8.1.2. Процедура Trace route ................................................................................................................................. 179
8.1.3. Процедура Telnet ......................................................................................................................................... 181
8.1.4. Процедура DNS-клиент .............................................................................................................................. 181
8.2. Консоль  Журналы .......................................................................................................................................... 181 8.3. Консоль  Выход............................................................................................................................................... 183 8.4. Консоль  Режим .............................................................................................................................................. 183
8.4.1. Пароль Администратора узла ................................................................................................................... 184
8.4.2. Замена заводского пароля администратора узла .................................................................................... 184
8.4.3. Смена паролей администратора узла и администратора сети ........................................................... 185
8.5. Консоль  Доступ.............................................................................................................................................. 186
9.
Главное меню. Альтернатива Диагностика .................................................................................................. 187
9.1. Диагностика  Параметры ............................................................................................................................... 187 9.2. Диагностика Интерфейсы .............................................................................................................................. 188
9.2.1. Созданные .................................................................................................................................................... 188
9.2.2. Активные ..................................................................................................................................................... 189
9.2.3. Таблица маршрутов .................................................................................................................................... 190
9.2.4. Статистика ................................................................................................................................................ 190
9.2.5. Текущая загрузка ......................................................................................................................................... 191
9.2.6. IP-статистика ............................................................................................................................................ 191
9.3. Диагностика Рабочие таблицы ...................................................................................................................... 191
9.3.1. ARP-таблица ............................................................................................................................................... 192
9.3.2. TCP-соединения ........................................................................................................................................... 192
9.3.3. UDP-блоки.................................................................................................................................................... 193
9.3.4. Активные сессии ......................................................................................................................................... 193
9.3.5. Активные таймеры .................................................................................................................................... 193
9.3.6. Адресная таблица ....................................................................................................................................... 194
9.3.7. Служебная память ..................................................................................................................................... 194
9.3.8. PING-пробы ................................................................................................................................................. 194
9.4. Диагностика  Статистика ............................................................................................................................... 195 9.5. Диагностика  Туннели .................................................................................................................................... 195 9.6. Диагностика  NAT .......................................................................................................................................... 195 9.7. Диагностика  DHCP ........................................................................................................................................ 195
9.7.1. Конфигурация .............................................................................................................................................. 195
9.7.2. Таблица лизинга ........................................................................................................................................... 195
9.8. Диагностика  DNS-служба ............................................................................................................................. 196
9.8.1. Конфигурация .............................................................................................................................................. 196
9.8.2. Таблица запросов ......................................................................................................................................... 197
9.8.3. Кэш ............................................................................................................................................................... 197
9.9. Диагностика  Маршрутизация ....................................................................................................................... 198
9.9.1. RIP ................................................................................................................................................................ 198
9.9.2. Таблица маршрутов .................................................................................................................................... 198
10.
Главное меню. Альтернатива Сервис .......................................................................................................... 199
10.1. Сервис  Криптография ................................................................................................................................. 199 10.2. Сервис  Размер дисков ................................................................................................................................. 201 10.3. Сервис  Свободная ОП ................................................................................................................................. 201 10.4. Сервис  Файлы .............................................................................................................................................. 202 10.5. Сервис  О системе ......................................................................................................................................... 202 10.6. Сервис  Рестарт интерфейсов ...................................................................................................................... 203 10.7. Сервис  Экспорт настроек / Импорт настроек ........................................................................................... 203
11.
Работа изделия в режиме Администратор сети ......................................................................................... 204

Содержание 5
11.1. Начало работы ...................................................................................................................................................205 11.2. Создание описателей объектов управления ...................................................................................................206 11.3. Управление удаленными изделиями защиты .................................................................................................207
11.3.1. Конфигурация .............................................................................................................................................208
11.3.2. Работа в режиме удаленной консоли изделия ........................................................................................209
11.3.3. Работа с журналами управляемого изделия ...........................................................................................209
11.4. Сервис ключей ..................................................................................................................................................210 11.5. Настройки на управляющем и управляемом изделиях..................................................................................211
11.5.1. Настройки на управляющем и управляемом изделиях при управлении БНМ .......................................211
11.5.2. Настройки на управляющем и управляемом изделиях при управлении БВМ ........................................212
Приложение А. Основы IP-адресации и маршрутизации ....................................................................................214
Приложение Б. Интерфейсы с агрегированием каналов связи ..........................................................................226
Приложение В. Средства организации L2-криптомостов между сегментами защищаемых ЛВС ...............230
Приложение Г. Обработка IP-датаграмм с учетом их приоритета ....................................................................238
Приложение Д. Использование DNS-сервиса .........................................................................................................243
Приложение Е. Системные журналы изделия .......................................................................................................248
Приложение Ж. Ethernet-адаптеры изделий и настройка сетевых интерфейсов ............................................253
Приложение З. Раскладки клавиатуры консоли управления .............................................................................256

1.
Введение
Настоящий документ «Технология ДИОНИС. Двухсегментная архитектура. Руководство по настройке изделий и управлению их работой» RU.НКБГ.30009-03 91 (далее – РНУ) предназначено для обслуживающего персонала изделий защиты, исполненных в двухсегментной архитектуре технологии DioNIS®. РНУ содержит сведения о настройке программного обеспечения этих изделий и об управлении их функционированием. Версия 4.
1.1.
Общие сведения
ООО «Фактор-ТС» является разработчиком непрерывно совершенствуемой технологии DioNIS®, применяемой в качестве базового компонента при создании широкого спектра телекоммуникационных IP-устройств, включая набор устройств защиты, сертифицированных для применения в составе защищенных сетей передачи данных
(далее – ЗСПД) как при обмене конфиденциальной информацией, так и при обмене информацией, содержащей сведения, составляющие государственную тайну.
Под технологией DioNIS® понимается набор аппаратных и программных средств, с помощью которых обеспечивается оснащение специализированных вычислительных устройств, выполняющих в сетях передачи данных обработку потоков данных, оптимизированную в соответствии с потребностями Пользователя.
Изделие, оснащенное по технологии DioNIS®, является многофункциональным телекоммуникационным сервером с функциями защиты передаваемой через сети общего пользования информации, предназначенным для построения ЗСПД различного масштаба (организованных согласно системным требованиям internet/intranet-технологии). Применение технологии DioNIS® при этом позволяет обеспечить соответствие пакета сервисов, набора средств защиты и их уровня, предоставляемых изделием, оснащенным этой технологией, потребностям Пользователя.
Базовым компонентом технологии DioNIS® является универсальный программный комплекс, на основе которого выполняется генерация сетевой операционной системы, в результате чего формируется вариант кода
программы управления функционированием изделия (далее – программа управления, программное обеспечение
ДИОНИС или ПО ДИОНИС), оптимизированного с учетом потребностей Пользователя в функционале изделия.
С развитием технологии DioNIS® наряду с поколением изделий, разработанных ранее ООО «Фактор-ТС» на основе принципов односегментной архитектуры, появилось поколение изделий, функционирующих на основе принципов двухсегментной архитектуры. Это − изделия серии М-479Рх, условно называемые изделиями нового
поколения или новыми изделиями.
В технических решениях, применяемых для изделий, исполненных в односегментной архитектуре технологии
DioNIS®, все функции обработки потоков данных выполняются размещенным в моноблоке изделия набором специализированных контроллеров, использующих ресурсы единственного универсального вычислительного процессора (далее – УВП).
Рис. 1.1 Упрощенная схема информационного взаимодействия основных элементов изделия, исполненного в односегментной архитектуре технологии DioNIS®
Сокращения на рисунке:
УВП – универсальный вычислительный процессор;
МКЗ – модуль криптографической защиты;
КД – ключевые документы;
ЛВС – локальная вычислительная сеть.

Глава 1. Введение 7
В изделиях, исполненных в односегментной архитектуре технологии DioNIS®, через системные ресурсы УВП циркулируют все виды обрабатываемой изделием информации, включая информацию, подлежащую защите.
Вычислительные мощности и ресурсы, сосредоточенные в рамках одного УВП и разделяемые встроенными в моноблок изделия специализированными контроллерами, ограничивают возможности повышения пропускной способности и надежности функционирования изделия в целом. Иллюстрирует сказанное приведенная на Рис. 1.1 схема обработки информационных потоков компонентами моноблока изделия, исполненного в односегментной архитектуре.
Управление работой таких изделий осуществляется с помощью загружаемой в УВП соответствующей программы управления функционированием изделия. Настройка режимов работы программы и управление работой этих изделий выполняются в соответствии со сведениями, изложенными в документе «ДИОНИС.
Руководство по настройке программного обеспечения («сборка FW»)» НКБГ.465651.001Д10 и в руководстве по эксплуатации на конкретное изделие (далее – РЭ).
Настоящий документ предназначен для обслуживающего персонала, эксплуатирующего изделие, исполненное в двухсегментной архитектуре технологии DioNIS®, и представляет собой как руководство по настройке режимов работы программы управления функционированием, так и руководство по управлению работой изделия серии М-479Рх (далее – изделие).
Основные особенности двухсегментной архитектуры, реализуемой поколением изделий, использующих новые возможности технологии DioNIS®, изложены ниже.