Файл: Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под.pdf

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 29.04.2024

Просмотров: 213

Скачиваний: 10

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
пытаются восстановить обмен по каналу связи, следующему в списке агрегированных каналов связи вслед за отказавшим. Если обмен может быть восстановлен (появился сигнал LINK) по каналу связи, ранее вышедшему из строя, обмен данными переключается на выполнение по восстановившемуся каналу связи.
Примечание. Отметим еще раз, что механизм агрегирования каналов связи применяется для всех типов физических интерфейсов изделия – и для Ethernet-интерфейсов, и для L2–Eth- интерфейсов.

Приложение В. Средства организации L2-криптомостов между
сегментами защищаемых ЛВС
Общие сведения
На протяжении ряда лет изделиями ООО «Фактор-ТС» поддерживается технология защищенного сетевого обмена IP-датаграммами между изделиями на сетевом уровне – технология криптомаршрутизатора.
Новым поколением изделий поддерживается технология защищенного сетевого обмена Ethernet-кадрами на канальном уровне – технология организации L2-криптомостов, обеспечивающая функционирование локального и удаленного сегментов ЛВС Пользователя как единого сегмента ЛВС.
Появление в составе изделия средств поддержки технологии защищенного обмена на L2-уровне не случайно, оно продиктовано растущими потребностями Пользователя на отдельных направлениях развития технологий обработки информации и телекоммуникационных технологий.
Часто при решении прикладных задач, связанных с обменом информацией через сети передачи данных, целесообразно обеспечить удаленную связь между локальным и удаленным сегментами ЛВС без применения маршрутизаторов – сетевых устройств коммутации IP-датаграмм на L3-уровне. При этом вся информация, генерируемая в виде Ethernet-кадров любым из сегментов ЛВС (локальным или удаленным), свободно распространяется между обоими сегментами ЛВС.
В этом случае обмен между сегментами ЛВС выполняется Ethernet-кадрами, которые могут содержать все типы кадров. Ни один из принятых интерфейсом из сегмента ЛВС Ethernet-кадров в случае организации обмена данными на L2-уровне не отбраковывается (в отличие от организации обмена данными на L3-уровне), а направляется на дальнейшую обработку изделием, подробности которой приведены далее в настоящем
Приложении.
Примечание. Напомним, что для L3-интерфейсов трафик Ethernet-кадров при его подготовке к дальнейшей обработке маршрутизатором изделия на
L3-уровне подвергается последовательности следующих операций:
- у принятого от ЛВС Ethernet-кадра – фрейма формата Ethernet_II (подробнее см. раздел
Приложение А
, с. 214) – отбрасываются выполнившие свою транспортную функцию заголовки и контрольные суммы из состава фрейма L2-уровня;
- анализируется поле Тип данных Ethernet-кадра: если значение поля равно 0x0806
(Ethernet-кадр транспортирует ARP-пакет) или 0x0800 (Ethernet-кадр транспортирует IP- пакет), то выполняется дальнейшая обработка Ethernet-кадра; при прочих значениях поля
Тип данных Ethernet-кадр считается ошибочным, он бракуется, и его обработка Ethernet- интерфейсом изделия прекращается;
- из Ethernet-кадра извлекается транспортируемый им блок информации (IP-пакет или ARP- пакет) и отправляется на маршрутизацию в маршрутизатор изделия, которому принадлежит принявший кадр Ethernet-интерфейс;
- после маршрутизации подлежащая передаче удаленному получателю IP-датаграмма подвергается необходимым преобразованиям, упаковывается в криптотуннель, инкапсулируется в транспортную IP-датаграмму и передается в соответствующий Ethernet- интерфейс изделия для отправки в сеть; исключение составляют только IP-датаграммы, направляемые маршрутизатором через собственный
внутренний интерфейс соответствующим службам (сервисам) маршрутизатора.
Такую типовую последовательность операций выполняют обычные IP-маршрутизаторы.
Особенностью обработки трафика L3-интерфейсом является то, что из всего потока информации, поступившей из сети на Ethernet-интерфейс изделия, на дальнейшую обработку попадают только IP-пакеты или ARP-пакеты. Ethernet-кадры с типом транспортируемой информации, отличной от IP или ARP, изделием игнорируются.
Технология защищенного сетевого обмена Ethernet-кадрами, обеспечивающая функционирование локального и удаленного сегментов ЛВС Пользователя как единого сегмента ЛВС, востребована при решении множества современных прикладных задач.
Типовым примером применения этой технологии являются технические решения, обеспечивающие
Пользователю подключение ЛВС удаленных офисов к центральному офису компании. При решении этой задачи связываться с организацией работы маршрутизаторов и пр. нецелесообразно. Пожалуй, самым существенным является то, что при использовании технологии обмена на L2-уровне (без маршрутизации, выполняемой на L3-уровне) обеспечивается передача по каналам связи всего возможного множества Ethernet- кадров, циркулирующих в ЛВС, независимо от транспортируемого ими типа данных.


Приложение В. Средства организации L2-криптомостов между сегментами защищаемых ЛВС 231
Особую актуальность техническое решение по обеспечению защищенного обмена на L2-уровне приобретает в связи с бурно развивающимся в области информационных технологий направлением создания Центров
обработки данных и организации сетевого взаимодействия между ними.
Средства организации L2-криптомостов и принципы их работы
Для организации беспрепятственного защищенного сетевого обмена Ethernet-кадрами на L2-уровне между локальным и удаленным сегментами ЛВС – организации L2-криптомоста – изделиями поддерживается функционирование следующих технологических средств сетевого обмена на L2-уровне:
- физический интерфейс типа L2–Eth (см. раздел 2.3.2, с. 33);
- виртуальный интерфейс типа L2–VLAN (см. раздел 2.4.4, с. 46);
- виртуальный интерфейс типа L2–Eth-_интерфейсом_через_значение_его_параметра_Имя_L2-туннеля'>L2–TNL (см. раздел 2.4.5, с. 49).
С помощью этих средств изделия приобретают дополнительную возможность организации защищенного bridge-соединения, устанавливаемого через IP-сеть общего пользования, и обеспечения функционирования локального и удаленного сегментов ЛВС Пользователя как единого сегмента ЛВС.
Основной принцип работы L2-криптомоста. Для организации L2-криптомоста между локальным и удаленным сегментами ЛВС на каждом из БВМ локального и удаленного изделий, подключаемых к тем сегментам ЛВС, которые будут функционировать в составе единого сегмента ЛВС, должен быть создан и настроен физический интерфейс типа L2–Eth.
Работа L2–Eth-интерфейса осуществляется в специальном – неразборчивом (promiscuous mode) – режиме, часто используемом снифферами: при этом из ЛВС Пользователя принимаются абсолютно все пришедшие на связанный с L2–Eth-интерфейсом Ethernet-адаптер «правильные» – проверенные на корректность контрольных сумм – Ethernet-кадры, с помощью которых транспортируются данные всех типов, и по определенному алгоритму передаются на удаленную сторону через IP-сеть общего пользования.
Для обеспечения собственно передачи принятых из ЛВС Пользователя данных на удаленную сторону на локальном и удаленном изделиях должен быть создан и настроен виртуальный интерфейс типа L2–TNL
(
общий для БВМ и БНМ, жестко связанный при настройке с соответствующим базовым физическим L2–Eth- интерфейсом через значение его параметра Имя L2-туннеля (см. раздел 2.3.2, с. 33).
Основной принцип работы тракта взаимодействия на L2-уровне изделий, на которых созданы и настроены интерфейсы типа L2–Eth и L2–TNL, иллюстрирует схема функционирования средств организации L2- криптомоста между удаленными сегментами ЛВС, представленная на Рис. В.1.
БВМ
БВМ
Шифратор
Шифратор
БНМ
2 4
3 1
БНМ
5
L2-Eth
Исходящий трафик
Входящий трафик
L2-Eth
Сети
общего
пользования
L2-TNL
Рис. В.1 Схема функционирования средств организации L2-криптомоста между удаленными сегментами ЛВС
Все принимаемые из ЛВС Пользователя L2–Eth-интерфейсом правильные Ethernet-кадры без какой бы то ни было обработки перенаправляются в связанный с ним (через значение параметра Имя L2-туннеля) L2–TNL- интерфейс, который далее реализует функции криптотуннеля, работа которого по шагам подробно рассмотрена в разделе 3.1.2.1, с. 86. По криптотуннелю все поступившие в него Ethernet-кадры доставляются на удаленное изделие и далее в удаленный сегмент ЛВС Пользователя.
Попав в L2-криптотуннель, Ethernet-кадр подвергается обработке шифратором согласно параметрам L2- криптотуннеля и далее, попав в БНМ локального изделия, упаковывается (инкапсулируется) в транспортную IP- датаграмму согласно параметрам выбранного при маршрутизации блоком наружной маршрутизации Ethernet- интерфейса и с помощью этого интерфейса через IP-сети общего пользования попадает на удаленное изделие любым доступным на текущий момент времени маршрутом.
Поступив на Ethernet-интерфейс БНМ удаленного изделия в общем потоке туннелированных транспортных IP- датаграмм, инкапсулированный в IP-датаграмму зашифрованный Ethernet-кадр будет принят интерфейсом БНМ удаленного изделия. Далее он будет расшифрован и передан на БВМ удаленного изделия, где Ethernet-кадр подлежит извлечению из L2-криптотуннеля, перенаправлению в связанный с L2-криптотуннелем (через значение параметра Имя L2-туннеля) соответствующий L2–Eth-интерфейс БВМ удаленного изделия, который передаст исходный Ethernet-кадр локального сегмента ЛВС Пользователя в удаленный сегмент ЛВС
Пользователя для доставки удаленной станции-получателю.


232
Приложение В. Средства организации L2-криптомостов между сегментами защищаемых ЛВС
Так реализуется основной принцип организации работы защищенного тракта взаимодействия между локальным и удаленным изделиями при передаче потока Ethernet-кадров на L2-уровне – принцип организации L2-
криптомоста.
Принцип работы L2-криптомостов с применением VLAN-технологии. Рассмотренная выше схема
(Рис. В.1) иллюстрирует работу одного L2–TNL-интерфейса, демонстрируя возможность организации одного
L2-криптомоста между локальным и удаленным сегментами ЛВС Пользователя. С помощью цепочки: L2–Eth- интерфейс (локальное изделие) – L2–TNL-интерфейс (криптотуннель через сети общего пользования) – L2–Eth- интерфейс (удаленное изделие) может быть организован только один защищенный тракт точка-точка – один
L2-криптомост.
В случае необходимости разделения потока Ethernet-кадров, входящего на L2–Eth-интерфейс локального изделия, на несколько исходящих защищенных потоков инструментария, включающего интерфейсы только типа L2–Eth и L2–TNL, недостаточно, поскольку с L2–Eth-интерфейсом может быть связан только один L2–
TNL-интерфейс, а это означает, что для L2–Eth-интерфейса может быть образован L2-криптомост только в
одном направлении.
Для организации, скажем, еще одного L2-криптомоста потребовалось бы задействовать дополнительно L2–Eth- интерфейсы с портами их Ethernet-адаптеров изделий как на передающей, так и на приемной стороне, что возможно не всегда.
Решить задачу разделения поступающего на локальное изделие потока Ethernet-кадров на несколько исходящих защищенных потоков, адресуемых по разным направлениям, позволяет применение технологии VLAN, основные сведения о которой приведены в разделе 2.4.1.1, с. 36.
Воспользоваться возможностями этой технологии позволяет применение поддерживаемых изделием виртуальных интерфейсов типа L2–VLAN, общие сведения о которых, процедура создания и настройки которых приведены в разделе 2.4.4, с. 46.
В случае применения L2–VLAN-интерфейсов для организации функционирования L2-криптомостов технологическая цепочка обработки трафика Ethernet-кадров выглядит следующим образом: L2–Eth-интерфейс
(локальное изделие) – L2–VLAN-интерфейс (локальное изделие) – L2–TNL-интерфейс (криптотуннель через сети общего пользования) – L2–Eth-интерфейс (удаленное изделие).
При настройке одним своим концом (входящим) L2–VLAN-интерфейс связывается с базовым физическим L2–
Eth-интерфейсом, а другим (выходящим) – с L2–TNL-интерфейсом.
Назначение L2–VLAN-интерфейса в этой цепочке заключается в следующем. Если на вход L2–Eth-интерфейса изделия поступает поток тегированных Ethernet-кадров, то Ethernet-кадр с тегом соответствующего L2–VLAN- интерфейса будет извлечен из общего потока и передан на дальнейшую обработку этому L2–VLAN- интерфейсу. А тот, в свою очередь, передаст его без обработки на вход связанного с ним L2–TNL-интерфейса – в криптотуннель с заданным направлением. Таким образом, весь входящий поток тегированных Ethernet- кадров, поступивших на вход L2–Eth-интерфейса локального изделия, будет распределен и передан по разным криптотуннелям на разные удаленные изделия – веером по различным L2-криптомостам.
Логика работы L2–Eth-интерфейса локального изделия в этой технологической цепочке при передаче данных удаленному изделию сводится к следующему. Если на вход L2–Eth-интерфейса поступает поток тегированных
Ethernet-кадров (поле Тип данных Ethernet-кадра имеет значение 0x8100), интерфейс определяет, связаны ли с ним при настройке интерфейсы типа L2–VLAN.
Если L2–VLAN-интерфейсы есть, то L2–Eth-интерфейс определяет, есть ли среди них L2–VLAN- интерфейс, значение параметра VLAN-идентификатор у которого (VNID) соответствует тегу очередного Ethernet-кадра:
- если L2–VLAN-интерфейс с таким тегом найден, то Ethernet-кадр будет передан ему на вход для дальнейшей передачи в связанный с ним L2–TNL-интерфейс, который отправит кадр по соответствующему криптотуннелю на удаленное изделие;
- если L2–VLAN-интерфейс с таким тегом не найден, то Ethernet-кадр будет передан в L2–TNL- интерфейс, связанный с базовым физическим L2–Eth-интерфейсом, для отправки кадра по соответствующему криптотуннелю на удаленное изделие.
Если L2–VLAN-интерфейсов нет, то Ethernet-кадр будет передан L2–Eth-интерфейсом в L2–TNL- интерфейс, связанный с базовым физическим L2–Eth-интерфейсом, для отправки кадра по соответствующему криптотуннелю на удаленное изделие.
При приеме удаленным изделием извлеченный из L2–TNL-интерфейса исходный Ethernet-кадр передается в связанный с L2–TNL-интерфейсом на удаленном изделии L2–Eth-интерфейс для доставки получателю в составе соответствующего удаленного сегмента ЛВС Пользователя.
Так реализуется принцип организации работы защищенных трактов взаимодействия между локальным и удаленными изделиями при передаче потока Ethernet-кадров на L2-уровне с применением VLAN-технологии – принцип организации L2-криптомостов.


Приложение В. Средства организации L2-криптомостов между сегментами защищаемых ЛВС 233
Контроль работоспособности тракта передачи на L2–уровне. С помощью L2–Eth-интерфейса изделие подключается к какому-либо порту коммутатора внутренней ЛВС Пользователя. О работоспособности L2–Eth- интерфейса коммутатор судит по наличию сигнала т. н. несущей – наличию сигнала несущей частоты или, как принято говорить, наличию сигнала LINK в сетевом кабеле, соединяющем порт коммутатора и соответствующий порт Ethernet-адаптера БВМ изделия, который использует L2–Eth-интерфейс.
Если коммутатор, L2–Eth-интерфейс и соединяющий их кабель исправны, то сигнал несущей (сигнал LINK) всегда присутствует, и потому коммутатор считает, что тракт обмена данными через L2–Eth-интерфейс исправен, и будет отправлять в этот тракт адресуемый интерфейсу трафик.
Но тракт передачи данных от отправителя информации в локальном сегменте ЛВС Пользователя до ее получателя в удаленном сегменте ЛВС представляет собой, как правило, длинную многозвенную цепочку.
Каждое из ее звеньев может выйти из строя, нарушив работу всего тракта. При этом коммутатор, определяя наличие сигнала LINK в сетевом кабеле, соединяющем его с L2–Eth-интерфейсом изделия, и потому считая, что тракт исправен, будет продолжать отправлять в него адресуемый интерфейсу трафик.
Для устранения этой нежелательной ситуации введено понятие ведущего интерфейса, указываемого при настройке L2–Eth-интерфейса (см. раздел 2.3.2, Рис. 2.15, с. 33, параметр
1   ...   40   41   42   43   44   45   46   47   48

Ведущий интерфейс).
В качестве ведущего администратор может указать любой сетевой интерфейс изделия. При пропадании сигнала
LINK на ведущем интерфейсе программа управления принудительно погасит сигнал LINK на связанном с ним
L2–Eth-интерфейсе. При пропадании сигнала LINK у L2–Eth-интерфейса коммутатор в локальном сегменте
ЛВС Пользователя прекратит передачу трафика по вышедшему из строя тракту и продолжит обмен с изделием защиты по резервному тракту (при его наличии). При обнаружении восстановления сигнала LINK у ведущего интерфейса программой управления будет поднят сигнал LINK и у связанного с ведущим L2–Eth-интерфейса.
Коммутатор, определив, что работоспособность L2–Eth-интерфейса восстановлена, вернется к работе с изделием по основному тракту.
Если в качестве ведущего интерфейса для L2–Eth-интерфейса указать соответствующий ему L2–TNL- интерфейс и на этом туннельном интерфейсе включить механизм автоматического контроля его готовности с помощью механизма KEEPALIVE (см. раздел 2.4.2, с. 39, Рис. 2.25), то в случае идентификации состояния неготовности L2–TNL-интерфейса программой управления автоматически будет установлен в состояние неготовности и L2–Eth-интерфейс – будет принудительно погашен сигнал LINK на его порту.
Целесообразно указывать работающий в режиме самоконтроля L2–TNL-интерфейс в качестве ведущего для связанного с ним L2–Eth-интерфейса, т.к. при этом с помощью отправляемых локальным изделием по L2- туннелю зондирующих запросов будет регулярно проверяться состояние готовности всего тракта передачи данных с удаленной стороной.
Особенно актуально применение описанного выше механизма контроля работоспособности тракта передачи данных в случаях, когда имеет место взаимодействие между сетевыми устройствами по дублируемым каналам связи.
Поддержка L2–Eth-интерфейсом частичного обмена IP-датаграммами на L3 уровне. Настраивая
L2–Eth-интерфейс, можно его основные функции поддержки обмена Ethernet-кадрами на L2 уровне опционально дополнить функцией частичной поддержки обмена IP-датаграммами на L3 уровне.
Если, организовав с помощью L2-интерфейсов защищенный обмен данными на L2-уровне, ограничиться поддержкой L2–Eth-интерфейсом только его основной функции – обеспечения обмена Ethernet-кадрами на L2- уровне, то можно потерять возможность использования и применения некоторых полезных инструментов и функций, обеспечиваемых интерфейсами изделия на L3-уровне: например, для сетевых устройств локального сегмента ЛВС будет отсутствовать возможность контроля готовности L2–Eth-интерфейса с помощью процедуры PING, будет отсутствовать возможность использования сервисов, предоставляемых службами БВМ изделия – службами DNS, DHCP, SNTP, SNMP и пр., будет отсутствовать реакция изделия на запросы согласно