Файл: Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под.pdf

Глава 2 Организация работы изделия с сетями передачи данных 61
представления номера сети и номера узла в этой сети, различают 5 классов сетей – A, B, C, D, E
(подробнее об адресации в IP-сетях см. раздел
Приложение А
, с. 214).
1. UNICAST-адресация. В этом случае отправитель указывает точный IP-адрес абонента-получателя, и датаграмма доставляется единственному адресату.
2. BROADCAST-адресация. В этом случае отправитель формирует IP-адрес пакета в специальной
широковещательной форме, которая означает, что датаграмма предназначена всем абонентам сети, адрес которой указан в адресе отправляемого IP-пакета.
Для формирования broadcast-посылки вся пользовательская часть IP-адреса (часть, отведенная под адрес
узла) заполняется двоичными единицами. Например, IP-адреса broadcast-пакетов, отправляемых в сети классов А, B и С будут выглядеть следующим образом:
<адрес сети>.255.255.255 – в broadcast-посылке для сети класса A;
<адрес сети>.255.255 – в broadcast-посылке для сети класса B;
<адрес сети>.255 – в broadcast-посылке для сети класса C.
3. MULTICAST-адресация. Позволяет адресовать датаграммы некоторой группе абонентов (MULTICAST- группе). Абоненты этой группы могут находиться как в одной, так и в разных IP-сетях. Если какая-либо станция, входящая в MULTICAST-группу, намерена послать информацию членам группы, она должна задать в качестве IP-адреса получателя датаграммы групповой адрес.
Для целей MULTICAST-адресации IP-адреса отправляемых пакетов формируются по правилам адресации в сетях класса D, т. е. старшие биты IP-адресов имеют значение 1110 (младший бит старшей тетрады IP-адреса равен 0, все остальные биты старшей тетрады равны 1).
Поэтому диапазон IP-адресов для адресации устройств, работающих в составе сетей класса D, выглядит следующим образом: 224.0.0.0 - 239.255.255.255.
При этом в диапазоне адресов сетей класса D:
 адрес 224.0.0.0 – не используется;
 адрес 224.0.0.1 – присвоен всем хостам и маршрутизаторам подсети;
 адрес 224.0.0.2 – присвоен всем маршрутизаторам подсети.
Часть оставшихся адресов диапазона отдана в распоряжение организации IANA (Internet Assigned Numbers
Authority). IANA присваивает имеющиеся в ее распоряжении адреса конкретным группам. Получить список этих групп (и присвоенных им адресов) можно по следующему адресу в Internet-сети:
URL = http://www.iana.org/assignments/multicast-addresses
Все остальные адреса из диапазона адресов класса D может брать любая станция и использовать их для организации локальных MULTICAST-групп. Локальные группы не требуют регистрации и не видны устройствам сети, не входящим в эти группы.
2.8.1.
Реализация MULTICAST-адресации
Реализуется MULTICAST-адресация следующим образом.
Каждая рабочая станция (хост) выбирает групповой адрес и, выходя на связь, объявляет в своей локальной сети, что она намерена работать в составе MULTICAST-группы с этим адресом. Группа может быть новой или уже существующей. Ближайший к станции маршрутизатор получает эту информацию и сообщает всем о появлении хоста (станции) в группе.
Схема взаимодействия устройств в сети при организации работы с MULTICAST-адресацией приведена на Рис. 2.51.
Для обмена информацией о принадлежности к
MULTICAST-группe между маршрутизатором и рабочими станциями используется специальный протокол
IGMP (Internet Group Management Protocol).
Рис. 2.51 Схема организации
MULTICAST-адресации
Информация между маршрутизаторами передается с помощью специальных
протоколов
MULTICAST-маршрутизации.
С помощью
IGMP-протокола хост может объявить о выходе из группы, т. е. членство в группе динамическое. Каждый хост должен регулярно (и достаточно часто) подтверждать свое участие в группе.
Каждый маршрутизатор, начиная работу, не знает ни об одной группе. Информацию о группах он получает от соседних маршрутизаторов в соответствии с протоколами MULTICAST-маршрутизации и от своих рабочих станций, периодически посылая соответствующие запросы.

62
Глава 2 Организация работы изделия с сетями передачи данных
2.8.2.
Настройка изделия для работы с MULTICAST-группами
При организации MULTICAST-адресации блоки маршрутизации (каждый в своем сегменте):
- принимают от рабочих станций своего сегмента по протоколу IGMP запросы на участие в
MULTICAST-группах и ведут у себя список этих групп;
- обеспечивают маршрутизацию MULTICAST-датаграмм: прием исходящих MULTICAST-датаграмм от рабочих станций своего сегмента, входящих в MULTICAST-группы, и передачу их другим известным маршрутизатору абонентам MULTICAST-групп.
Обработка IGMP-протокола и работа с MULTICAST-группами выполняется изделием только в том случае, если специальными настройками интерфейса разрешена обработка MULTICAST-датаграмм этими интерфейсами
(подробнее о специальных настройках см. раздел 2.5, с. 50).
Настройка блока маршрутизации для обеспечения обработки проходящего через интерфейс трафика, включающего пакеты с адресацией MULTICAST-группам, выполняется при конфигурировании интерфейсов изделия (см. раздел 2.3.1, с. 25).
В бланке создания и настройки интерфейса при выборе альтернативы Специальные настройки на видеомонитор ЛКУ будет выдан представленный на Рис. 2.52 бланк управления специальными настройками интерфейса – копия аналогичного бланка, представленного на Рис. 2.8 (с. 28).
В этом бланке следует параметру Запретить обработку: Multicast-датаграмм присвоить значение
Нет
, убрав в бланке символ «*» (звездочка) справа от названия параметра.
Значения всех остальных параметров бланка должны быть заданы по общим правилам конфигурирования интерфейсов.
Рис. 2.52 Бланк управления специальными настройками интерфейса
Если в составе блока маршрутизации определен хотя бы один физический интерфейс с разрешенной обработкой
MULTICAST-датаграмм (MULTICAST-интерфейс), работа блока маршрутизации с MULTICAST-датаграммами происходит следующим образом.
1. Для MULTICAST-интерфейса обрабатываются пакеты IGMP-протокола и формируются списки
MULTICAST-групп.
2. С момента регистрации каждой MULTICAST-группы интерфейс начинает принимать датаграммы с соответствующими MULTICAST-адресами.
3. Все полученные MULTICAST-датаграммы автоматически передаются во все другие MULTICAST- интерфейсы, для которых есть регистрация тех же MULTICAST-групп.
4. Передача MULTICAST-датаграмм во внешние интерфейсы (не MULTICAST-интерфейсы) изделия возможна в том случае, если выполнено в составе изделия определены туннели, содержащие правила отбора, для которых в качестве адресов получателя заданы MULTICAST-адреса
В процессе работы блока маршрутизации для каждого интерфейса можно оперативно получить информацию о состоянии его IGMP-таблицы. Для этого необходимо выбрать цепочку альтернатив ГМ: Диагностика 
Интерфейсы  Активные (см. раздел 9.2.2, с. 189), после чего в появившемся списке активных интерфейсов изделия (см. Рис. 9.5, с. 189) установить курсор на описание интересующего интерфейса и нажать комбинацию клавиш .
Примечание. Подробное описание протокола IGMP приведено в документе RFC 2236.
2.9.
Примеры настройки изделий
Рассмотрим примеры настройки изделий, обеспечивающих защищенный обмен данными между двумя удаленными сегментами ЛВС Пользователя.
На Рис. 2.53 приведен пример простой монтажной схемы организации защищенной связи между двумя удаленными сегментами ЛВС Пользователя.

Глава 2 Организация работы изделия с сетями передачи данных 63
Изделие
№ 2
Рабочая станция
№ 1
Рабочая станция
№ 2
Изделие
№ 1
ЛВС № 1 192.168.1.0/24
ЛВС № 2 192.168.2.0/24
Сеть общего пользования
10.1.1.0/24
.2
.2
Криптотуннель
.1
.2 порт 0 БНМ
порт 0 БНМ
.1
.1
порт 1 БВМ
порт 1 БВМ
ID
Рис. 2.53 Монтажная схема организации защищенного обмена между двумя сегментами ЛВС Пользователя
Согласно схеме защиту передаваемого между сегментами ЛВС трафика осуществляют два изделия Изделие № 1 и Изделие № 2.
Тракт передачи данных между изделиями через сеть общего пользования (адрес подсети: 10.1.1.0/24) имитируют Ethernet-кабели, подключаемые через коммутатор к разъемам Ethernet-адаптеров БНМ соответствующего изделия. Порты БНМ изделий, к которым подключены кабели, промаркированы как порты с номером 0 на обоих изделиях.
Адрес наружного интерфейса Изделия № 1 в сети общего пользования: 10.1.1.1.
Адрес наружного интерфейса Изделия № 2 в сети общего пользования: 10.1.1.2.
Между наружными интерфейсами изделий организован криптотуннель с идентификатором ID.
В Изделия № 1 и № 2 загружены соответствующие ключевые документы с номером серии 1001.
К каждому из БВМ изделий № 1 и № 2 подключены соответственно ЛВС № 1 и № 2, в составе которых имеются рабочие станции (далее – РС) № 1 и № 2. Для подключения ЛВС на каждом из БВМ изделий использованы порты Ethernet-адаптеров с номером 1.
К Изделию № 1 подключена ЛВС № 1, адрес которой: 192.168.1.0/24. Адрес внутреннего интерфейса
Изделия № 1 (порт 1) в ЛВС: 192.168.1.1, адрес рабочей станции: 192.168.1.2.
К Изделию № 2 подключена ЛВС № 2, адрес которой: 192.168.2.0/24. Адрес внутреннего интерфейса
Изделия № 2 (порт 1) в ЛВС: 192.168.2.1, адрес рабочей станции: 192.168.2.2.
С помощью представленного на монтажной схеме оборудования между рабочими станциями сегментов ЛВС
Пользователя может быть организован режим обмена как IP-датаграммами на L3-уровне, так и Ethernet-
кадрами на L2-уровне.
Для организации того или иного режима обмена должны быть выполнены соответствующие настройки Изделий
№ 1 и № 2; примеры настроек приведены в последующих разделах (2.9.1 и 2.9.2).
В разделе 2.9.1 приведен пример настройки изделий для организации обмена IP-датаграммами на L3-уровне.
В разделе 2.9.2 приведен пример настройки изделий для организации обмена Ethernet-кадрами на L2-уровне.
2.9.1.

64
Глава 2 Организация работы изделия с сетями передачи данных
- принадлежащий БВМ физический сетевой интерфейс типа Ethernet с именем IntETH2;
- принадлежащий БНМ физический сетевой интерфейс типа Ethernet с именем ExtETH2;
- общий туннельный интерфейс типа TNL с именем TNL2.
10.1.1.0/24 192.168.2.0/24
1
2
1
2
TNL-
интерфейс
Идентиф. криптотуннеля ID = 48
10.1.1.1 -> 10.1.1.2 1001 4 -> 8 192.168.1.0/24 < - > 192.168.2.0/24 0
1
N
Ключи:
Серия
1001
Номер
4
0 1
M
10.1.1.1 192.168.1.1 192.168.1.0/24
2
1
0 1
N
Ключи:
Серия
1001
Номер
8
0 1
M
Оборудование
Пользователя 1
Оборудование
Пользователя 2
Криптотуннель ID = 48
10.1.1.2 192.168.2.1
ExtETH1
IntETH1
TNL1
ExtETH2
TNL2
IntETH2
п о р т ы Б В М
п о р т ы Б В М
п о р т ы Б Н М
п о р т ы Б Н М
Изделие
№ 1
Изделие
№ 2
Рис. 2.54 Логическая схема организации связи между изделиями при обмене IP-датаграммами на L3-уровне
Ниже приведены значения основных параметров, которые следует присвоить при создании и настройке перечисленных элементов.
Изделие № 1
1. Общие параметры маршрутизаторов
Параметры TCP/IP (см. раздел 4.1.2, с. 130)
Собственный IP-адрес: наружный – 10.1.1.1; внутренний – 192.168.1.1 .
Время жизни IP-датаграмм (TTL) – 32.
Максимальный размер TCP-пакета (MSS) – 512.
Размер TCP-окна (Window) – 8192.
2. Сетевой физический интерфейс ExtETH1 (см. раздел 2.3.1, с. 25)
Тип – Ethernet.
Принадлежность маршрутизатору – наружный.
Имя интерфейса – ExtETH1.
Локальный IP-адрес – 10.1.1.1/24.
Удаленный IP-адрес – 0.0.0.0.
Максимальный размер IP-датаграмм (MTU) – 1600.
Таблица маршрутов – не настраивать.
Дополнительные параметры. Номер порта – 0.
Интерфейс – автоопределение.
Режим работы – автоопределение.
Специальные настройки. Запретить обработку: – пакетов DHCP-протокола;
– пакетов RIP-протокола;
– Multicast-датаграмм;
– Cluster-пакетов.

Глава 2 Организация работы изделия с сетями передачи данных 65
3. Сетевой физический интерфейс IntETH1 (см. раздел 2.3.1, с. 25)
Тип – Ethernet.
Принадлежность маршрутизатору – внутренний.
Имя интерфейса – IntETH1.
Локальный IP-адрес – 192.168.1.1/24.
Удаленный IP-адрес – 0.0.0.0.
Максимальный размер IP-датаграмм (MTU) – 1500.
Дополнительные параметры. Номер порта – 1.
Интерфейс – автоопределение.
Режим работы – автоопределение.
Специальные настройки. Запретить обработку: – пакетов DHCP-протокола;
– пакетов RIP-протокола;
– Multicast-датаграмм;
– Cluster-пакетов.
4. Туннельный интерфейс TNL1 (см. разделы 2.4.2, с. 39 и 2.3.1, с. 25)
Тип – TNL.
Принадлежность маршрутизатору – общий.
Имя интерфейса – TNL1.
Идентификатор туннеля – 48.
Локальный IP-адрес – 10.1.1.1.
Удаленный IP-адрес – 10.1.1.2.
Таблица маршрутов. Адрес – 192.168.2.0.
Значащих бит – 24.
Адрес шлюза – 0.0.0.0.
Метрика маршрута –0.
Метка –0.
Шифрование потока. Шифрование потока – ДА.
Версия криптоалгоритма – vМПМ.
Номер серии ключей –1001.
Локальный криптономер –4.
Удаленный криптономер –8.
Номер ключевой зоны –0.
Максимальный размер IP-датаграмм (MTU) – 1500.
Дополнительные параметры. Описание – произвольный текст.
Формат заголовка – TNL.
Метка туннеля – 0.
Контроль состояния – Нет.
Скорость передачи – 0.
Скорость приема – 0.
Специальные настройки. Запретить обработку: – пакетов DHCP-протокола;
– пакетов RIP-протокола;
– Multicast-датаграмм;
– Cluster-пакетов.
Примечание. Отметим, что при настройке физических интерфейсов параметру Максимальный
размер IP-датаграмм (MTU) внутреннего физического интерфейса IntETH2 присвоено значение 1500, а тому же параметру наружного интерфейса ExtETH2 присвоено значение
1600.
Разница в значениях максимальной длины Ethernet-кадров, отправляемых соответствующими
Ethernet-адаптерами в каналы связи, учитывает, что на наружном интерфейсе ExtETH2 длина

66
Глава 2 Организация работы изделия с сетями передачи данных
любого принятого из внутренней сети и подлежащего передаче в сеть общего пользования
Ethernet-кадра увеличивается на длину IP-заголовка транспортной IP-датаграммы, добавляемого к длине исходной IP-датаграммы. Заголовок транспортной IP-датаграммы включает: транспортный IP-заголовок длиной 20 байт, заголовок туннеля длиной 16 байт или более и, возможно, UDP-заголовок длиной 8 байт (подробнее см. раздел 3.1, Рис. 3.3, с. 74). Эта добавка к первоначальной длине принятого внутренним интерфейсом IntETH2 Ethernet-кадра может вызвать необходимость включения при работе наружного интерфейса ExtETH2 механизма фрагментации – передачи исходящего Ethernet-кадра интерфейсом ExtETH2 в виде
двух Ethernet-кадров, каждый из которых не превышает размер MTU для наружного интерфейса.
Во избежание этих накладных расходов значение параметра MTU наружного интерфейса
ExtETH2 увеличено до 1600.
Отметим также, что прежде чем устанавливать значение MTU, равное 1600, следует убедиться, что тракт во внешней сети пропускает Ethernet-кадры такой длины. Выполнить эту проверку можно путем выдачи на оконечное устройство проверяемого тракта команды PING с соответствующей длиной передаваемых этой командой данных.
Изделие № 2
1. Общие параметры маршрутизаторов
Параметры TCP/IP (см. раздел 4.1.2, с. 130)
Собственный IP-адрес: наружный – 10.1.1.2; внутренний – 192.168.2.1 .
Время жизни IP-датаграмм (TTL) – 32.
Максимальный размер TCP-пакета (MSS) – 512.
Размер TCP-окна (Window) – 8192.
2. Сетевой физический интерфейс ExtETH2 (см. раздел 2.3.1, с. 25)
Тип – Ethernet.
Принадлежность маршрутизатору – наружный.
Имя интерфейса – ExtETH2.
Локальный IP-адрес – 10.1.1.2/24.
Удаленный IP-адрес – 0.0.0.0.
Максимальный размер IP-датаграмм (MTU) – 1600.
Дополнительные параметры. Номер порта – 0.
Интерфейс – автоопределение.
Режим работы – автоопределение.
Специальные настройки. Запретить обработку: – пакетов DHCP-протокола;
– пакетов RIP-протокола;
– Multicast-датаграмм;
– Cluster-пакетов.
3. Сетевой физический интерфейс IntETH2 (см. раздел 2.3.1, с. 25)
Тип – Ethernet.
Принадлежность маршрутизатору – внутренний.
Имя интерфейса – IntETH2.
Локальный IP-адрес – 192.168.2.1/24.
Удаленный IP-адрес – 0.0.0.0.
Максимальный размер IP-датаграмм (MTU) – 1500.
Дополнительные параметры. Номер порта – 1.
Интерфейс – автоопределение.
Режим работы – автоопределение.
Специальные настройки. Запретить обработку: – пакетов DHCP-протокола;
– пакетов RIP-протокола;
– Multicast-датаграмм;
– Cluster-пакетов.