Файл: Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 29.04.2024
Просмотров: 227
Скачиваний: 10
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Глава 3. Средства защиты при передаче данных через сети 79
В ответ на видеомонитор ЛКУ будет выдано меню управления описателями статических криптотуннелей изделия, не содержащее описателей или содержащее список созданных ранее описателей статических криптотуннелей, аналогичное представленному на Рис. 3.5.
Рис. 3.5 Меню управления описателями статических криптотуннелей изделия
Описание каждого криптотуннеля в меню управления описателями (Рис. 3.5) занимает одну строку, в которую выводятся значения следующих параметров статического туннеля:
- в колонке ID – идентификатор криптотуннеля;
- в колонках Локальный адрес и Удаленный адрес – IP-адреса соответственно локального и удаленного концов туннеля;
- в колонке #N# – число правил отбора, сформированных при настройке параметра Правила отбора во время создания или редактирования описателя туннеля;
- в колонке Шифрование приведены криптопараметры в формате: число в скобках – номер ключевой зоны; затем – номер серии ключей; затем – локальный криптономер и (после стрелки вправо) удаленный криптономер;
- в колонке
1 ... 13 14 15 16 17 18 19 20 ... 48
Метка – метка статического туннеля.
Сразу после создания туннель готов к работе, цвет соответствующей строки описателя – черный (туннель помечается как рабочий).
Статический туннель готов к работе сразу после создания, цвет соответствующей строки описателя – черный
(туннель помечен как рабочий).
Если туннель помечен (см. ниже) как не обрабатываемый (выключенный), цвет строки – зеленый.
Если туннель заблокирован (см. ниже), цвет соответствующей строки – красный.
Формат вывода параметров туннеля может быть таким, как представлено на Рис. 3.5, а может быть изменен с помощью команды Alt+F1 – сменить формат вывода (команда приведена на линии рамки над списком туннелей). По этой команде вместо последних трех колонок на видеомонитор ЛКУ выводится комментарий, заданный в карточке туннеля в графе Описание (см. пояснения к Рис. 3.8, с. 80).
На рамке в правом верхнем углу (Рис. 3.5) выводится десятичное число, определяющее длину файла, содержащего описатели (в байтах), полезное для контроля при настройке изделия. Максимально возможная длина файла − 256 Кбайт.
Все операции по созданию, редактированию и управлению туннелями выполняются с помощью функциональных клавиш, назначение которых приведено в нижней части окна (Рис. 3.5). Далее приведены пояснения к выполнению этих операций.
F7 – создать (Рис. 3.5). Нажатие клавиши
Enter – редактировать (Рис. 3.5). Нажатие клавиши
Alt+F7 – загрузить из файла (Рис. 3.5). Функция позволяет загрузить описание туннелей из файла. После нажатия комбинации клавиш
Рис. 3.6 Запрос на ввод имени файла с описателями статических туннелей
На запрос должно быть введено обязательное имя tnl_tcp.ema – системное имя файла, в котором хранится описание статических туннелей. Имя (с указанием пути) можно ввести с клавиатуры (после чего нажать клавишу
80
Глава 3. Средства защиты при передаче данных через сети
Если предполагается использовать описание туннелей, имеющихся в архиве изделия, следует в папке
D:\DIONISWT.CFG (папка содержит архив всех конфигураторов изделия – см. раздел 4.1.8, с. 143) найти нужный конфигуратор и выбрать в нем файл tnl_tcp.ema – перевести курсор на имя файла и нажать клавишу
добавить описатели туннелей к списку или заменить имеющийся список туннелей целиком на другой.
Примечание. Файл tnl_tcp.ema может находиться на съемном носителе, что позволяет перенести описание статических туннелей, сформированное на другом изделии.
F3 – не обрабатывать (Рис. 3.5). Нажатие клавиши
не обрабатываемый (выключенный). На экране цвет соответствующей строки при этом изменяется на зеленый.
Повторное нажатие клавиши
F2 – блокировать (Рис. 3.5). Нажатие клавиши
F4 – заменить серию ключей (Рис. 3.5). Нажатие клавиши
F6 – перенести (Рис. 3.5). Использование клавиши
белый. Далее следует переместить курсор в списке криптотуннелей (Рис. 3.5) на ту строку списка, после которой должна быть размещена обозначенная белым цветом строка описателя, и повторно нажать клавишу
Внимание! Порядок следования описателей статических криптотуннелей в списке имеет значение, так как при отправке IP-датаграммы в сеть проверяется по списку описателей туннелей совпадение параметров IP-датаграммы с правилами отбора в туннель, при этом список описателей статических криптотуннелей (см. Рис. 3.5) просматривается сверху вниз.
Ctrl+Enter – правила отбора (Рис. 3.5). При нажатии комбинации клавиш
ЛКУ выводится полный список правил отбора всех статических криптотуннелей изделия, аналогичный представленному на Рис. 3.7. Список можно визуально проконтролировать на видеомониторе ЛКУ, а также можно задокументировать текущее состояние списка правил отбора – занести в журнал (файл LOG.EMA), для чего следует нажать клавишу <пробел>.
Рис. 3.7 Полный список правил отбора статических криптотуннелей
Создание и настройка статического криптотуннеля
Бланк создания и настройки статического криптотуннеля изделия представлен на Рис. 3.8. Пояснения, необходимые при работе с бланком, приведены ниже.
Рис. 3.8 Бланк создания и настройки статического криптотуннеля
Описание (Рис. 3.8) – параметр позволяет задать до 32-х символов произвольного текста. Его можно увидеть на экране, если изменить формат вывода списка туннелей (см. Рис. 3.5, с. 790), выдав команду Alt+F1 –
сменить формат вывода.
Глава 3. Средства защиты при передаче данных через сети 81
Идентификатор туннеля (Рис. 3.8) – параметр задает целое десятичное число в диапазоне от 0 до 32767 (до
5 цифр), идентифицирующее криптотуннель. Значение идентификатора должно совпадать на обоих концах туннеля – в списках статических криптотуннелей на обоих изделиях, между которыми организуется туннель.
Внимание! Значение идентификатора криптотуннеля в составе ЗСПД должно быть
уникальным среди узлов, входящих в одну и ту же ключевую зону.
Локальный IP-адрес (Рис. 3.8) – параметр задает IP-адрес локального конца криптотуннеля. Этот адрес будет подставлен в качестве адреса отправителя (Source Address) в IP-заголовок транспортной
IP-датаграммы при упаковке датаграммы в туннель (см. раздел 3.1, с. 73).
Удаленный IP-адрес (Рис. 3.8) – параметр задает IP-адрес удаленного конца туннеля. Этот адрес будет подставлен в качестве адреса назначения (Destination Address) в IP-заголовок транспортной
IP-датаграммы при упаковке датаграммы в туннель (см. раздел 3.1, с. 73).
Правила отбора (Рис. 3.8) –параметра обеспечивает вызов меню управления правилами отбора в статический туннель, аналогичного представленному на Рис. 3.9. Правила отбора регулируют выбор из потока всех входящих IP-датаграмм тех, которые должны быть направлены на дальнейшую обработку в конкретный криптотуннель, т.е. тех IP-датаграмм, параметры которых совпали с правилами отбора.
Рис. 3.9 Меню управления правилами отбора в статический криптотуннель
F7 – создать (Рис. 3.9). Нажатие клавиши
Пояснения к работе по настройке параметров этого бланка приведены ниже в данном разделе.
Примечание. Описатель созданного правила будет помещен в общий список правил отбора (Рис. 3.9) первой строкой, если список был пуст, или строкой, следующей за строкой того описателя, на которую был установлен курсор непосредственно перед нажатием клавиши
Enter – редактировать (Рис. 3.9). Нажатие клавиши
ЛКУ бланка создания и настройки правила отбора, аналогичного представленному на Рис. 3.10 (с. 82); бланк содержит параметры того правила, на котором в меню управления правилами отбора (Рис. 3.9) был установлен курсор. Операция предоставляет возможность откорректировать параметры правила.
F8 – удалить (Рис. 3.9). Нажатие клавиши
F6 – перенести (Рис. 3.9). Использование клавиши
Далее следует переместить курсор на ту строку списка описателей правил (Рис. 3.9), после которой должна быть размещена обозначенная белым цветом строка, и повторно нажать клавишу
Примечание. Между первым и вторым нажатиями клавиши
F3 – блокировать (Рис. 3.9). Нажатие клавиши
F2 – выгрузить в файл (Рис. 3.9). Нажатие клавиши
Текст описаний правил отбора можно редактировать. Эта возможность позволяет оперативно заимствовать список правил отбора с другого аналогичного изделия.
82
Глава 3. Средства защиты при передаче данных через сети
F4 – загрузить из файла (Рис. 3.9). Нажатие клавиши
На Рис. 3.10 представлен бланк создания и настройки правил отбора в статический криптотуннель.
Рис. 3.10 Бланк создания и настройки правила отбора в статический криптотуннель
Режим (Рис. 3.10). Параметр может принимать значение разрешить или запретить. В первом случае входящая IP-датаграмма, соответствующая остальным параметрам правила, будет считаться отобранной в данный криптотуннель, во втором случае IP-датаграмма в туннель отобрана не будет и ее обработка будет продолжена на общих основаниях согласно алгоритму работы маршрутизатора.
Протокол (Рис. 3.10). Параметру может быть присвоено одно из следующих значений:
ANY, ICMP, TCP, UDP, TNL.
Фиксировать (Рис. 3.10). Параметр может принимать значения да или нет, определяя, будет ли выполняться протоколирование последовательности обработки IP-датаграмм, проходящих через статический криптотуннель, в журналах изделия
Диапазон номеров портов (Рис. 3.10). Параметр имеет смысл только для протоколов TCP и
UDP
. Он задает проверку значения порта назначения в IP-заголовках TCP- или UDP-датаграмм, транспортируемых подлежащими проверке IP-датаграммами. Порт назначения TCP- или UDP- пакета считается удовлетворяющим данному правилу отбора, если его значение укладывается в диапазон, заданный параметром Диапазон номеров портов.
Если обе цифры параметра Диапазон номеров портов имеют одинаковое ненулевое значение, то данному правилу отбора удовлетворяют TCP- или UDP-пакеты с единственным значением поля порт назначения заголовка пакета.
Если обе цифры параметра Диапазон номеров портов являются нулями, то проверка поля порт назначения заголовка IP-датаграммы не производится, т.е. любое значение порта назначения датаграммы считается удовлетворяющим данному правилу отбора.
Для параметров Адрес: Отправитель и Адрес: Получатель (Рис. 3.10) можно задать значения параметру Зн. бит – длину маски подсети, целое десятичное число в диапазоне от 0 до 32. В этом случае в процессе отбора значения IP-адресов, заданные в бланке создания и настройки правил отбора, и значения IP-адресов датаграммы будут сравниваться только по заданному числу старших бит адресов.
Примечание. Количество сформированных правил отбора в каждый из статических криптотуннелей выводится в список описателей статических криптотуннелей изделия в колонке под заголовком #N# (см. Рис. 3.5, с. 79).
Заголовок (Рис. 3.8). При выборе альтернативы на видеомонитор ЛКУ будет выдан бланк настройки типа транспортного протокола для передачи туннелированных IP-датаграмм, представленный на Рис. 3.11.
Рис. 3.11 Бланк настройки типа транспортного протокола туннелированной IP-датаграммы
Формат заголовка (Рис. 3.11). Параметр может принимать одно из следующих значений:
TNL
– полю Protocol в IP-заголовках исходящих туннелированных IP-датаграмм будет присвоено значение, равное 4 (что означает, что сформированная туннелированная IP- датаграмма представляет собой инкапсуляцию IP in IP);
UDP – полю Protocol в IP-заголовках исходящих туннелированных IP-датаграмм будет присвоено значение 17. Политика отдельных провайдеров препятствует передаче
Глава 3. Средства защиты при передаче данных через сети 83
туннелированных данных (когда полю Protocol в IP-заголовках исходящих IP- датаграмм присвоено значение 4) через контролируемые ими сети передачи данных.
Присвоение значения UDP или UDPnat параметру Формат заголовка позволяет добиться передачи трафика через такие сети.
UDPnat – в этом случае полю Protocol в IP-заголовках исходящих туннелированных
IP-датаграмм будет присвоено значение17. Присвоение параметру Формат заголовка
(Рис. 3.11) значения UDPnat обеспечивает возможность передачи туннелированных данных в режиме клиент-сервер из-под NAT-обработчика.
Е
сли параметр Формат заголовка имеет значение UDP или UDPnat, то параметрам Порт
отправителя и Порт получателя IP-датаграмм можно присвоить значения, отличные от умалчиваемых (по умолчанию оба параметра имеют значение 500).
Шифрование потока (Рис. 3.8). Параметр для статических криптотуннелей всегда имеет значение ДА, что означает безусловное выполнение зашифрования информации, передаваемой по статическому криптотуннелю.
Номер ключевой зоны (Рис. 3.8) – целое десятичное число в диапазоне от 1 до 999 или 0 (число 7 в скобках под заголовком Шифрование на Рис. 3.5)
Номер серии ключей (Рис. 3.8) – целое десятичное число, равное номеру серии ключей, используемой в данной криптографической сети (число 1002 под заголовком Шифрование на Рис. 3.5).
Локальный криптономер (Рис. 3.8) – целое десятичное число (до 5 цифр), соответствующее криптографическому номеру данного изделия в криптографической сети (число 4 под заголовком
Шифрование на Рис. 3.5).
Удаленный криптономер (Рис. 3.8) – целое десятичное число (до 5 цифр), соответствующее криптографическому номеру в криптографической сети того удаленного изделия, с которым будет выполняться обмен информацией по данному криптотуннелю (число 10 под заголовком Шифрование на Рис. 3.5).
Примечание. При настройке значений параметров Номер ключевой зоны, Номер серии
ключей и Локальный криптономер следует руководствоваться комментариями, приведенными в разделе 2.4.2, с. 39 при описании настройки аналогичных параметров меню настройки криптопараметров TNL-интерфейса (Рис. 2.24, с. 40).
vХХХ (Рис. 3.8) – параметр управления криптографической совместимостью. Определяет вариант реализации в данном туннеле версии криптографического алгоритма обработки туннелируемых IP-пакетов; параметр необходим для настройки синхронной обработки IP-пакетов криптоалгоритмами одного и того же варианта реализации на приемном и передающем концах настраиваемого туннеля.
Параметр может принимать следующие значения:
vМПМ – версия криптографического алгоритма, реализованная в изделиях серии М-479Рх;
v07Ф – версия криптографического алгоритма, реализованная в изделиях М-479К;
v07М – версия криптографического алгоритма, реализованная в изделиях М-479Ж.
Внимание! При настройке криптотуннелей с применением изделия М-479Р2 параметру vХХХ может быть присвоено только значение vМПМ.
Контроль (Рис. 3.8) – по умолчанию параметр имеет значение Нет, при этом режим самоконтроля криптотуннеля не запускается. При выборе параметра на видеомонитор ЛКУ выдается представленное на Рис. 3.12 меню настройки механизма самоконтроля состояния криптотуннеля, осуществляемого с помощью специального контрольного пакета (KEEPALIVE).
Рис. 3.12 Меню настройки механизма самоконтроля состояния криптотуннеля (KEEPALIVE)
1 ... 14 15 16 17 18 19 20 21 ... 48
Интервал отправки запросов (Рис. 3.12) – выбор параметра позволяет установить значение величины интервала (единица измерения – секунда), через который будут регулярно (пока криптотуннель работоспособен) выдаваться на удаленный конец криптотуннеля зондирующий пакет специального формата (KEEPALIVE).
Максимальное время ожидания ответов (Рис. 3.12) – интервал времени (единица измерения – секунда), до истечения которого, начиная с момента отправки зондирующего пакета, криптотуннель считается работоспособным. Если по истечении этого интервала ответ на зондирующий пакет не получен, криптотуннель считается неработоспособным.
Метка (Рис. 3.8) – целое десятичное число в диапазоне от 0 до 255, служит для взаимной привязки данного криптотуннеля и конкретной PING-пробы (подробнее см. раздел 2.7.3, с. 60).
84
Глава 3. Средства защиты при передаче данных через сети
Пример конфигурирования статических криптотуннелей
В качестве примера конфигурирования статических криптотуннелей рассмотрим схему построения VPN некоторой организации, офисы которой расположены в трех территориально удаленных городах – например, в
Москве, Краснодаре и Орле. Возможная схема организации связи в этом случае представлена на Рис. 3.13.
Каждый из офисов использует ЛВС, работающую в фиктивном адресном пространстве 10.x.0.0/16. Для связи между локальными сетями офисов в качестве транспортной сети используется сеть Internet, в качестве устройств, обеспечивающих защиту передаваемой по каналам связи информации пользователей ЛВС, изделия серии М-479Рх.
Примечание. Изделия серии М-479Рх могут обеспечивать защиту как на L3-уровне обмена данными (в качестве криптомаршрутизатора), так и на L2-уровне (в качестве средства организации
криптомоста). Для организации функционирования криптотуннелей можно выбрать механизмы TNL- интерфейсов или статических туннелей (на L3-уровне обмена данными), а также механизм L2–TNL- интерфейсов (на L2-уровне обмена данными).
Для решения предложенной в примере задачи используем изделия в качестве
криптомаршрутизаторов, применяя для организации криптотуннелей механизм статических
криптотуннелей.
IP-адреса внутренних и внешних сетевых интерфейсов изделий приведены на схеме.
Рис. 3.13 Схема организации связи, иллюстрирующая применение статических криптотуннелей
Ставится задача организации VPN таким образом, чтобы пользователи (абоненты) локальной сети любого офиса могли обращаться к информационным ресурсам всех остальных офисов.
Сначала следует определить топологию сети, обеспечивающей работу офисов организации. Наиболее эффективной в этом случае является организация связи по схеме «каждый с каждым», но она требует организации большого количества криптотуннелей между ЛВС каждого из офисов, а именно (n-1), где n – число взаимодействующих офисов в сети VPN (в нашем примере необходима организация двух туннелей между ЛВС каждого из офисов).
Если информационный обмен сосредоточен в основном на направлениях центральный офис – периферийный офис, то VPN целесообразно строить по топологии «звезда». В этом случае в каждом периферийном офисе необходима организация только одного туннеля с центром, при этом потоки информации между ЛВС периферийных офисов (Краснодар, Орел) будут проходить транзитом через центральный офис
(Москва), где будет выполняться процедура переупаковки данных из одного туннеля в другой.
После определения топологии сети необходимо спланировать криптографические параметры VPN, для чего следует получить ключевые документы с заданным номером серии ключей (серия 200 в нашем примере) и назначить криптографические номера для ЛВС каждого из офисов сети (в примере это: 100 – Москва,
123 – Краснодар, 157– Орел).
Глава 3. Средства защиты при передаче данных через сети 85
После уточнения топологии сети, структуры криптопараметров узлов связи, типа и структуры криптотуннелей следует настроить статические криптотуннели на направлениях Москва-Краснодар и Москва-Орел, пользуясь значениями параметров криптотуннелей, приведенными ниже в таблицах.
Туннель между офисами
Москва
Краснодар
Идентификатор туннеля
123
123
Локальный IP-адрес
217.107.209.6
214.15.57.4
Удаленный IP-адрес
214.15.57.4
217.107.209.6
Шифрование потока
ДА
ДА
Номер серии ключей
200
200
Локальный криптономер
100
123
Удаленный криптономер
123
100
Правила отбора
Москва
Краснодар
разрешить 10.0.0.0/8 10.123.0.0/16 ANY 0-0 запретить 0.0.0.0/00 10.123.0.0/16 ANY 0-0
разрешить 10.123.0.0/16 10.0.0.0/8 ANY 0-0
Туннель между офисами
Москва
Орел
Идентификатор туннеля
157
157
Локальный IP-адрес
217.107.209.6
195.156.63.1
Удаленный IP-адрес
195.156.63.1
217.107.209.6
Шифрование потока
ДА
ДА
Номер серии ключей
200
200
Локальный криптономер
100
157
Удаленный криптономер
157
100
Правила отбора
Москва
Орел
разрешить 10.0.0.0/8 10.157.0.0/16 ANY 0-0 запретить 0.0.0.0/00 10.157.0.0/16 ANY 0-0
разрешить 10.157.0.0/16 10.0.0.0/8 ANY 0-0
Особое внимание при настройке статических криптотуннелей следует уделить правилам
отбора в туннель. Ошибки в правилах отбора могут приводить к недоступности части офисов
VPN, а также к появлению информационных циклов (петель), приводящих к резкому возрастанию трафика через внешнюю сеть.
В нашем примере московский узел должен разрешить упаковку в соответствующий туннель IP-датаграмм, предназначенных только для конкретной периферийной сети.
На периферийных концах туннелей должны быть заданы правила отбора для сетей всех остальных офисов (в
Краснодаре – для Москвы и Орла). Однако такой подход резко увеличивает количество правил отбора в туннели периферийных узлов при увеличении количества взаимодействующих офисов. Поэтому в примере рассмотрен другой подход к формированию правил отбора в туннели на периферийных узлах.
Сначала запрещается отбор в туннель на Москву IP-датаграмм, адресованных станциям внутренней ЛВС офиса, а затем разрешается упаковка в туннель IP-датаграмм, адресованных всем остальным узлам VPN-сети. Другими словами, вместо перечисления IP-адресов всех соседних офисов дается общее разрешение на всю VPN, за вычетом адресатов собственной сети.
3.1.1.3.
Создание и настройка TNL-интерфейсов
Процедуры создания и настройки TNL-интерфейсов, обеспечивающих защиту трафика IP-датаграмм, передаваемого через сети общего пользования на L3-уровне, приведены в разделе 2.4.2, с. 39.
3.1.1.4.
Организация защиты трафика IP-датаграмм на L3-уровне
Для обеспечения функционирования технологии защиты обмена IP-датаграммами на L3-уровне изделие применяется как криптомаршрутизатор.
86
Глава 3. Средства защиты при передаче данных через сети
Для организации функционирования изделия в этом режиме необходимо:
- создать и настроить, руководствуясь схемой организации связи, необходимое число сетевых физических Ethernet-интерфейсов на БВМ и БНМ изделия (см. раздел 2.3.1, с. 25) – как основу для телекоммуникационного обмена изделия с удаленными сегментами ЛВС Пользователя и сетями общего пользования;
- создать и настроить необходимые криптотуннели, руководствуясь схемой организации связи и используя исходные данные Администрации ЗСПД о криптопараметрах сети, для чего:
- выбрать предпочтительный способ организации криптотуннелей для защиты обмена
IP-датаграммами на заданном направлении – с помощью статических криптотуннелей или с помощью TNL-интерфейсов;
- создать и настроить статические криптотуннели (см. раздел 3.1.1.2, с. 78) на заданных направлениях обмена – при необходимости;
- создать и настроить TNL-интерфейсы (раздел 2.4.2, с. 39) на заданных направлениях обмена – при необходимости;
- создать и настроить виртуальные VLAN-интерфейсы (см. раздел 2.4.1, с. 36) и GRE-интерфейсы (см. раздел 2.4.3, с. 43), обеспечивающие дополнительную необходимую обработку проходящего через базовый Ethernet-интерфейс трафика – при необходимости.
Приведенная последовательность действий по использованию предоставленного изделием инструментария обеспечивает решение задачи организации защиты трафика IP-датаграмм, передаваемого между субъектами обмена через сети общего пользования.
3.1.2.
Криптотуннели для защиты обмена Ethernet-кадрами на L2-уровне
Защита трафика Ethernet-кадров с информацией Пользователя, передаваемого на L2-уровне через сети общего пользования, осуществляется изделиями с помощью L2–TNL-интерфейсов. Настоящий подраздел содержит сведения о принципах работы L2–TNL-интерфейсов и возможных вариантах их применения.
3.1.2.1.
Принципы работы криптотуннелей на L2-уровне
Общая схема организации функционирования криптографического туннеля, устанавливаемого между локальным и удаленным изделиями и выполняющего криптозащиту передаваемого на L2-уровне через IP-сети общего пользования трафика Ethernet-кадров, представлена на Рис. 3.14.
БВМ
БВМ
Шифратор
Шифратор
БНМ
2 4
3 1
БНМ
5
L2-Eth
Исходящий трафик
Входящий трафик
L2-Eth
Сети
общего
пользования
L2-TNL
Локальное изделие
Удаленное изделие
Рис. 3.14 Схема функционирования криптотуннеля при передаче Ethernet-кадров на L2-уровне
Такой криптотуннель можно представить в виде конструкции, состоящей из двух трубок (двух стволов), каждая из которых обрабатывает исходящий или входящий трафик изделия на данном направлении обмена (Рис. 3.14).
Пакеты с информацией передаются между образующими криптотуннель изделиями по каждому из стволов криптотуннеля только в одном направлении: от изделия-отправителя пакета к изделию-получателю.
Тракт обработки трафика защищаемых Ethernet-кадров каждым из однонаправленных стволов криптотуннеля начинается в БВМ изделия-отправителя, проходит через его шифратор и БНМ, продолжается далее через оборудование сетей общего пользования и оканчивается в БНМ изделия-получателя.
В своей основе тракт передачи Ethernet-кадров между изделиями защиты через сети общего пользования на L2- уровне представляет собой простую цепочку: L2–Eth-интерфейс БВМ изделия-отправителя – криптотуннель, образованный L2–TNL-интерфейсами изделия-отправителя и изделия-получателя – L2–Eth-интерфейс БВМ изделия-получателя.
Примечание. Вопросы более сложной организации защищенного тракта передачи на L2-уровне и обработки потока Ethernet-кадров в нем с учетом применения L2–VLAN-интерфейсов и использования настроек L3-уровня в L2–Eth-интерфейсах рассмотрены в соответствующих разделах настоящего РНУ.
Передача данных по криптотуннелю на L2-уровне. Каждый правильный Ethernet-кадр, принятый из
ЛВС Пользователя L2–Eth-интерфейсом БВМ локального изделия, направляется на L2–TNL-интерфейс, имя
