для чего нужны метрики при настройке параметров доступа к координатору

Вопросы и ответы: ViPNet Coordinator HW

Вопросы и ответы: ViPNet Coordinator HW

Настройка двух DHCP-relay для двух разных подсетей, на разные DHCP-сервера. Необходимо настроить два DHCP relay для двух разных подсетей, настроенных на разных интерфейсах координатора. (Одна подсеть должна посылать запрос на один DHCP-сервер, другая на другой соответственно.) Как настроить такую функцию? Можно ли сделать такую схему с использованием других служб (Например, NAT)? Coordinator ПАК HW, версия 4.2.1.

В версии 4.2.1 такой возможности нет.

Возможность настройки двух dhcp-relay на разных интерфейсах для двух разных DHCP серверов реализовано HW4.3.0 и выше.

На Coordinator HW1000 загрузка демона alg на 100%. Во время работы ПАК HW загрузка демона ALG регистрируется в 100%, при этом пропадает доступ до ПАК по сети. Для восстановления доступа к ПАК HW1000, помогает перезагрузка ALG, командой alg restart.

При задействованном процессе ALG, такая ситуация возможна по нескольким причинам.

В качестве быстрого устранения проблемы, в случае если нет необходимости в обработке трафика приклодных протоколов (TFTP, SCCP, NTP, DNS, SIP, H323) рекомендуется отключить ALG (см. документ «ViPNet Coordinator HW 4. Справочное руководство по командному интерпретатору», раздел «Команды группы alg»). Если отключение ALG не помогло, необходимо обратиться в техническую поддержку ИнфоТеКС по следующему адресу электронной почты: hotline@infotecs.ru.

Изменили пароль пользователя, но он не применился на координаторе. В ПО ViPNet Администратор изменили пароль для пользователя сетевого узла ПАК HW, сформировали и отправили справочники на узел, справочники применились, но пароль пользователя не изменился.

Все действия над учетной записью пользователя (смена пароля, удаление) необходимо выполнять только локально на ViPNet Coordinator HW.

Пароль пользователя ViPNet Coordinator HW можно изменить только локально, как описано ниже. Смена пароля пользователя удаленно (с помощью программы ViPNet Центр управления сетью (ЦУС)) невозможна.

Чтобы изменить пароль пользователя, выполните следующие действия:

В результате с помощью нового пароля будут перешифрованы ключи пользователя, в том числе резервный набор персональных ключей при наличии.

Более подробно, см. в документе: «ViPNet Coordinator HW 4. Настройка с помощью командного интерпретатора» раздел «Настройка параметров безопасности».

Необходимо заменить программный координатор на ПАК HW. Возникла необходимость заменить программный координатор (Windows/Linux) на программно-аппаратный комплекс HW. Программный координатор является основным, на нем зарегистрирован ЦУС + он имеет связи с другими HW. Можно ли это сделать без переноса клиентов на новый координатор?

Для реализации переноса необходимо выполнить следующие действия:

Плюсы данного сценария в том, что для пользователей замена происходит незаметно, никаких настроек менять не нужно.

В случае возникновения проблем на выполнении п. 4–7 можно произвести переключение обратно на программный координатор.

Внимание! В данном примере не рассматривается задача по переносу очереди MFTP с программного координатора на ПАК HW.

Аналогично, можно проводить замену ПАК HW различных платформ, например, в случае замены ПАК HW на более производительную платформу.

Необходимо обновить ПАК HW с версии 3.х на 4.х. Какова последовательность обновления версий?

Первоначально, необходимо убедиться, что платформа ПАК поддерживает версию 4.х*.

Для корректного обновления на версию прошивки 4.х необходимо обновиться до версии (3.5) и лишь затем переходить к обновлению на 4.1., и лишь потом на 4.2.

Перед удаленным обновлением необходимо разослать из ЦУС на координаторы актуальный файл лицензии, который позволит обновиться до следующей версии ПО координатору HW. Затем из ЦУС поочередно с версии на версию отправлять обновления ПО. Нужно убедиться в применении обновления каждой посланной версии. Более подробный порядок версий, на которые нужно обновляться до актуальной версии прошивки HW 4.2.1, а также промежуточные версии ПО, можно запросить в отделе технического сопровождения ИнфоТеКС, по электронной почте hotline@infotecs.ru.

При локальном обновлении, также нужно применять последовательность в установке перечисленных версий.

Кроме того, можно перепрошить ПАК сразу на версию 4.2, однако придется производить настройки ПАК заново.

* — начиная с версии 4.0 более не поддерживаются следующие платформы: HW100 E1, HW100 E2, HW100 K1, HW1000 Q1/S1.

При обновлении ViPNet Coordinator HW версии 3.х до версии 4.х и последующей перезагрузки ПАК, обновление на версию 4.х не выполнено.

Перед выполнением обновления с версии 3.х до версии 4.х необходимо предварительно убедиться, что данная платформа поддерживает версию 4.х.

К тому же до проведения обновления необходимо выполнить команду смены пароля пользователя ViPNet Coordinator HW — admin passwd.

Пароль можно оставить тот же что и был, после чего повторить обновление ПАК.

Более подробно о команде «admin passwd» см. в документе «ViPNet Coordinator HW 4. Справочное руководство по командному интерпретатору» раздел «Команды группы admin».

При входе в консоль ViPNet Coordinator HW и вводе пароля пользователя или администратора долго не удается войти.

В ViPNet Coordinator HW реализован механизм создания временных задержек при неуспешном вводе пароля.

Если пользователь или администратор вводит неверный пароль, перед следующей попыткой ввода пароля ему нужно подождать несколько секунд. Задержка реализована для предотвращения возможности подбора пароля методом перебора. С каждой новой неуспешной попыткой ввода пароля задержка увеличивается. Если был введен неверный пароль 10 раз подряд, задержка составит 25 минут, но после нее можно повторить очередную попытку ввода пароля. При успешном вводе пароля счетчик, который фиксирует неуспешные попытки, обнуляется.

Кроме этого, информация обо всех неуспешных попытках ввода пароля фиксируются в журнале устранения неполадок.

Возможность изменения размера MTU на сетевых интерфейсах ПАК HW.

По умолчанию в ViPNet Coordinator HW при передаче данных через сетевые интерфейсы используется фиксированный размер MTU, равный 1500 байт.

Возможность изменения MTU на сетевых интерфейсах реализована в HW4.2.2 и выше.

При работе в режиме кластера горячего резервирования не работает DHCP-relay или DHCP-сервер.

Поддержка функция DHCP-relay и DHCP-сервер при работе в кластере горячего резервирования будет реализована HW4.3.0 и выше.

Отсутствует принудительное переназначение виртуальных адресов.

В предыдущих версиях ViPNet Coordinator HW можно было принудительно запустить автоматическое переназначение виртуальных адресов всех защищенных узлов с помощью параметра startvirtualiphash в секции [virtualip] файла iplir.conf. В результате такого переназначения некоторые узлы могли стать недоступны, поэтому больше данный параметр не используется.

В текущей версии, для автоматического переназначения виртуальных адресов, необходимо изменить значения параметра — startvirtualip, это стартовый адрес для формирования базовых виртуальных адресов защищенных узлов (по умолчанию — 11.0.0.1). При изменении данного параметра назначение всех базовых виртуальных адресов производится заново, как при начальном формировании файлов конфигурации.

Подробнее о настройке виртуальных адресов, см. документ «ViPNet Coordinator HW 4. Настройка с помощью командного интерпретатора», раздел «Настройка параметров виртуальных адресов».

После смены мастер-ключей в сети ViPNet координатор стал недоступен.

При компрометации и смене мастер-ключей в сети ViPNet обновления справочников и ключей на ViPNet Coordinator HW могут быть приняты только в том случае, если на узле есть резервный набор персональных ключей (РНПК).

Необходимо до смены мастер-ключей проверить наличие РНПК на узле. Узнать о наличии или отсутствии файла с РНПК на узле можно, просмотрев информации о ключах с помощью команды iplir show key-info.

Если файла с РНПК нет, добавьте его на ViPNet Coordinator HW с помощью команды admin add spare keys. В противном случае, выполнить обновление справочников и ключей будет возможно только вручную.

Организована межсеть, координатор собственной сети HW 1000, координатор сторонней сети HW 50. Координаторы друг другу доступны, так же как и клиенты. Обмен сообщениями между клиентами проходит хорошо, но обмен письмами через деловую почту не работает, как с вложениями, так и без них. Письма висят в статусе «Отправлено».

В исполнениях ViPNet Coordinator HW50 A, B и ViPNet Coordinator HW100 A, B не поддерживаются функции шлюзового координатора (см. документ «ViPNet Coordinator HW 4. Общее описание», раздел «Лицензирование ViPNet Coordinator HW») и транспортного сервера. Вследствие этого возникают следующие ограничения при формировании структуры сети ViPNet:

> Координатор, созданный для одного из этих исполнений, нельзя регистрировать в качестве шлюзового координатора в другие сети ViPNet. В противном случае работоспособность ViPNet Coordinator HW может быть нарушена.

> Клиенты ViPNet нельзя регистрировать за таким координатором. Координатор в данном случае может использоваться для туннелирования открытого IP-трафика.

Подключили ПАК HW к коммутатору через оптический кабель, но интерфейс на ПАК неактивен — нет линка.

Аппаратные платформы HW, поддерживают только определенные модели SFP-трансиверов.

– Аппаратные платформы HW100 N1, N2, N3 имеют однопортовый сетевой адаптер SFP (порт Ethernet 4), с которым совместим SFP-трансивер модели AFBR 5710PZ производства Avago Technologies.

SFP-трансивер модели Avago AFBR 5710PZ.

– Аппаратная платформа HW1000 Q6 имеет двухпортовый сетевой адаптер (порты Ethernet 4 и Ethernet 5), с которым совместим SFP-трансивер модели Avago AFBR 5710PZ (1 трансивер этой модели входит в комплект поставки).

SFP-трансивер модели AFBR 5710PZ.

– Все аппаратные платформы для исполнения ViPNet Coordinator HW2000 имеют двухпортовые сетевые адаптеры Intel Ethernet SPF+. С адаптерами этой серии совместимы только следующие модели SFP-трансиверов

> AFBR-709SMZ/SFBR-709SMZ производства Avago Technologies;

> E10GSFPSR производства Intel Corporation;

> E10GSFPLR производства Intel Corporation.

– Аппаратная платформа HW5000 Q1 имеет двухпортовый сетевой адаптер Intel Ethernet SFP+. С адаптерами этой серии совместимы только следующие модели SFP-трансиверов:

> AFBR-709SMZ/SFBR-709SMZ производства Avago Technologies;

> E10GSFPSR производства Intel Corporation;

> E10GSFPLR производства Intel Corporation.

– Аппаратная платформа HW5000 Q1 имеет двухпортовый сетевой адаптер Broadcom Ethernet SFP+. С этим адаптером совместимы только следующие модели SFP-трансиверов:

> AFBR-709SMZ/SFBR-709SMZ производства Avago Technologies;

> E10GSFPLR производства Intel Corporation.

Более подробно о совместимых SFP-трансиверах и параметрах кабеля для подключения к адаптерам, см. документ: «ViPNet Coordinator HW 4. Общее описание», раздел «Описание исполнений ViPNet Coordinator HW».

Необходимо настроить мониторинг работы ПАК HW по протоколу SNMP.

ViPNet Coordinator HW поддерживает протокол SNMP версий 1 и 2.

Для получения информации о сетевых узлах ViPNet по протоколу SNMP необходимо выделить компьютер и установить на него специальное программное обеспечение управления сетью (NMS), например WhatsUp Gold. Чтобы получение информации было возможно, импортируйте файл VIPNET-MIB.txt, в котором описаны используемые ПО ViPNet объекты SNMP, в NMS (подробнее см. в документации по используемой NMS).

Опрос ViPNet Coordinator HW по протоколу SNMP рекомендуется выполнять с защищенных узлов ViPNet. Соответствующие сетевые фильтры по умолчанию включены в список фильтров защищенной сети. Если опрос будет осуществляться с открытого узла, в список локальных фильтров открытой сети необходимо добавить аналогичные разрешающие фильтры, указав в них IP-адрес этого узла.

Для получения MIB-файлов необходимо обратиться в техническую поддержку ИнфоТеКС по следующему адресу электронной почте: hotline@infotecs.ru.

Настройка SNMP-агента описана в документации «ViPNet Coordinator HW 4. Настройка с помощью командного интерпретатора», раздел «Мониторинг по протоколу SNMP».

При работе через веб-gui на hw100с версии 4.2.1-1407 служба прокси-сервера долго запускается и останавливается, при этом выполнение в cli занимает гораздо меньше времени.

При работе в веб-gui для остановки и запуска службы прокси-сервера задействованы несколько дополнительных служб, большую часть времени занимает проверка правил firewall.

Время запуска и остановки служб будет уменьшено в новых версиях ПО.

При работе SIP-телефонии в сети ViPNet наблюдается обрыв связи или односторонняя связь, при этом на координаторе, в журнале IP-пакетов фиксируются пакеты с событием-104.

По умолчанию в ViPNet Coordinator HW включена обработка всех поддерживаемых прикладных протоколов для открытого и защищенного трафика. Для обработки заданы наиболее часто используемые сетевые протоколы и порты (по умолчанию настроены порты 5060, 5080 по протоколам tcp, udp).

В первую очередь необходимо убедиться, что на всем пути следования пакета, не происходит обработки данного пакета правилами NAT, так как между SIP-клиентами нельзя использовать статическую или динамическую трансляцию адресов.

Чтобы установить сеанс связи между SIP-клиентами, убедитесь, что включена обработка протокола SIP, это можно сделать, выполнив команду: alg show (см. документ «ViPNet Coordinator HW 4. Настройка с помощью командного интерпретатора», раздел «Настройка параметров обработки прикладных протоколов), а также создайте фильтр открытой сети, разрешающий входящее и исходящее соединение по протоколам TCP и UDP на порт 5060 (если хотя бы один из SIP-клиентов является открытым узлом).

Кроме того, рекомендуется проверить, что в модуле обработки прикладных протоколов [alg] заданы корректные протоколы и порты, по которым работает ваши SIP-сервер и SIP-клиент.

Не поддерживаются SIP-клиенты и телекоммуникационные серверы, использующие при подключении протокол TLS, SIP-клиенты, использующие (compact headers), а также SIP-клиенты, использующие сжатие данных в сообщениях SIP.

Для некоторых SIP-клиентов могут не обрабатываться такие дополнительные данные, как телефонные справочники, информация о доступности абонента и другие.

Список поддерживаемых прикладных протоколов изменить нельзя.

ViPNet Coordinator HW также поддерживает обработку прикладного протокола Cisco NetMeeting для организации видеоконференций, но только при использовании видимости по реальным IP-адресам между клиентским ПО Cisco NetMeeting Application в сети ViPNet и туннелируемым сервером Cisco NetMeeting.

Между координатором и другими защищенными или туннелируемыми узлами успешно проходит проверка соединения (ping), но не устанавливается TCP-соединение, а также возможна задержка передачи конвертов и деловой почты.

Причиной блокирования шифрованных IP-пакетов, передаваемых в рамках TCP-соединения, может быть фрагментация этих IP-пакетов на устройствах, стоящих на пути от отправителя к получателю.

Проблема возникает при инкапсуляции больших пакетов, например: PPPoE + ViPNet, GRE + ViPNet и т.д. Подробнее о работе стека протокола TCP/IP, параметров MSS и MTU, можно найти в открытых источниках интернет.

Во избежание фрагментации рекомендуется уменьшить размер IP-пакетов, принимаемых на узле, присвоив параметру mssdecrease* значение от 50 до 200 байт. Чтобы уменьшить размер исходящих IP-пакетов узла, значение параметра mssdecrease следует изменить на узле получателя этих IP-пакетов. Для установления TCP-соединения достаточно изменить параметр mssdecrease на одном из взаимодействующих узлов.

* — подробнее см. в документе «ViPNet Coordinator HW 4. Справочное руководство по конфигурационным файлам», глава «Файл iplir.conf» раздел «Секция [misc]».

Для решения этой проблемы необходимо выполнить переинициализацю ПАК. Для этого нужно удалить ключи командой: admin remove keys*.

На запрос подтверждения удаления, набрать команду Yes, нажать клавишу «Ввод» (Enter).

* — более подробно о данной команде см. «ViPNet Coordinator HW 4. Справочное руководство по командному интерпретатору» раздел «Команды группы admin».

При инициализации ПАК HW выходит ошибка: «Virtual appliance is detected».

Неправильно настроен BIOS. Необходимо зайти в BIOS и выполнить настройки для данной платформы, согласно документу «ViPNet Coordinator HW 4. Подготовка к работе» раздел «Настройка параметров BIOS».

Если вход в BIOS на вашей платформе заблокирован, следует отправить ПАК в сервисный центр ИнфоТеКС, предварительно обратившись в техническую поддержку ИнфоТеКС по следующему адресу электронной почты: hotline@infotecs.ru.

При включении ПАК HW50 на мониторе нет изображения.

Такое возможно, если монитор подключен к ПАК через переходники, например через переходник VGA-HDMI. ПАК HW50 необходимо подключать напрямую к монитору, имеющему разъем HDMI, без использования каких-либо переходников.

Необходимо организовать подключение координатора к двум провайдерам для обеспечения использования несколько шлюзов (провайдеров), например для распределения нагрузки на каналы сети или резервирования каналов при использовании нескольких интернет-провайдеров на случай отказа одного из них (чтобы избежать потерь трафика).

Механизм, позволяющий распределить нагрузку на сеть или настроить резервные каналы доступа в интернет для сетей, в инфраструктуре которых используется несколько шлюзов (провайдеров), реализован в HW4.3.0.

После настройки координатора HW в режиме работы системы защиты от сбоев (кластер горячего резервирования/Failover) ноды циклически перезагружаются.

Рекомендуется проверить корректность выполненных настроек в файле failover.ini, согласно документу «ViPNet Coordinator HW 4. Сценарии работы», раздел «Назначение и принципы работы системы защиты от сбоев».

На практике часто применяются схемы подключения кластера горячего резервирования к коммутаторам, маршрутизаторам и другому коммутационному оборудованию. Настройки данного оборудования могут влиять на работу кластера горячего резервирования. В частности, администратор такого оборудования может настроить блокирование тех или иных сетевых пакетов, среди которых могут оказаться служебные пакеты, необходимые для корректного функционирования ViPNet Coordinator HW в режиме кластера горячего резервирования.

В связи с этим при использовании коммутационного оборудования с кластером горячего резервирования необходимо убедится, что на этом оборудовании пропускаются эхо-запросы ICMP с IP-адресов активного сервера до всех узлов c IP-адресами, заданными в параметрах testip секции [channel] файла failover.ini и ответы на них, а также ARP-запросы с IP-адресов пассивного сервера до IP-адресов активного сервера и ответы на них. Данные рекомендации касаются всех сетевых интерфейсов ViPNet Coordinator HW, для которых существует секция [channel] в файле failover.ini.

Если проблема остается, необходимо обратиться в техническую поддержку ИнфоТеКС по следующему адресу электронной почты: hotline@infotecs.ru.

Невозможно подключиться к ПАК HW по SSH, при этом есть доступ через веб-консоль.

Убедитесь, что координатор доступен по 22 порту (например, выполнив команду telnet с любого защищенного узла, связанного с координатором). Если координатор недоступен, проверьте наличие и активность разрешающих правил доступа в настройках межсетевого экрана на координаторе.

Если проверка прошла успешно, но по SSH подключиться невозможно, рекомендуется выполнить перепрошивку ПАК. Следует обратиться в техническую поддержку ИнфоТеКС по следующему адресу электронной почты: hotline@infotecs.ru.

Функционал сброса ключей авторизации будет реализован в новых версиях ПО ViPNet Coordiantor HW.

При подключении к веб-интерфейсу координатора, выдается сообщение: «Действующий персональный ключ станет неактуальным: [дата] / Действующий персональный ключ истек» или при входе в режим администратора на ПАК появляется надпись: «User keys will expire. »

Необходимо обновить ключи; для этого следует обратиться к администратору сети ViPNet. Кроме того, перед обновлением ключей вы должны убедиться, что на узле присутствует резервный набор персональных ключей пользователя (РНПК). При отсутствии РНПК его следует добавить на узел.

Подробнее см. документ «ViPNet Coordinator HW 4. Настройка с помощью командного интерпретатора», разделы «Обновление ключей при истечении срока их действия», «Добавление резервного набора персональных ключей (РНПК)».

Для продления срока действия персонального ключа необходимо в УКЦ поднять вариант ключей пользователя для сетевого узла данного координатора, сформировать справочники и отправить на проблемный узел. Предварительно убедиться, что на ПАК установлен действующий резервный набор персональных ключей (РНПК).

Во избежание возможных ошибок рекомендуется предварительно создать резервную копию настроек ПАК, выполнив команду admin export keys binary-encrypted .

См. документ «ViPNet Coordinator HW 4. Справочное руководство по командному интерпретатору», «ViPNet Удостоверяющий и ключевой центр 4. Руководство администратора» раздел «Изменение вариантов персонального ключа пользователя и ключей узла».

При просмотре журнала пакетов на ПАК HW отображается информация только о заблокированных пакетах.

Для отображения всех пакетов необходимо включить функцию регистрации всех пакетов на сетевых интерфейсах координатора.

Завершите работу демона iplir с помощью команды iplir stop.

Откройте конфигурационный файл для редактирования с помощью команды iplir config ethX, где Х — номер сетевого интерфейса.

В секции [db] измените следующие параметры установите параметр registerall = on.

Сохраните изменения в файле и запустите демон iplir с помощью команды iplir start.

Более подробно см. в документе «ViPNet Coordinator HW 4. Справочное руководство по конфигурационным файлам».

От узлов сторонней сети ViPNet, с которой не задана связь в ЦУСе, блокируется трафик, который должен проходить через координатор собственной сети ViPNet.

Для решения проблемы необходимо настроить межсетевое взаимодействие между этими сетями или выполнить настройку прохождения трафика от узла сторонней сети в «обход» координатора вашей сети.

Функционал обработки защищенных IP-пакетов для узлов ViPNet, связь с которыми не задана в программе «ViPNet Центр управления сетью», реализован в HW4.2.2 и выше.

Невозможно зайти в BIOS ПАК HW.

В новых платформах доступ в BIOS заблокирован для пользователей.

Если требуется перепрошивка ПАК, следует отправить ПАК в сервисный центр ИнфоТеКС, предварительно необходимо обратиться в техническую поддержку ИнфоТеКС по следующему адресу электронной почты: hotline@infotecs.ru.

При входе в режим enable не подходит пароль администратора сети.

При наличии связи между узлом администратора сети ViPNet и координатором необходимо в ПО ViPNet Администратор (УКЦ/ЦУС) сформировать актуальные справочники, отправить их на Координатор и убедиться, что они применились*.

При отсутствии связи необходимо выполнить перепрошивку ПАК.

* См. документы «ViPNet Удостоверяющий и ключевой центр 4. Руководство администратора» и «ViPNet Центр управления сетью 4. Руководство администратора».

Между координаторами в очереди MFTP зависают конверты; после перезапуска MFTP конверты отправляются.

Для устранения проблемы необходимо изменить параметр outenv_timeout секции [misc] конфигурационного файла mftp.conf.

Более подробно см. в документе «ViPNet Coordinator HW 4. Справочное руководство по конфигурационным файлам».

Источник

Чтобы добавить новый статический маршрут, выполните следующие действия:

1 Войдите в веб-интерфейс ViPNet Coordinator HW в режиме администратора (см.

«Подключение к веб-интерфейсу» на стр. 17).

2 Перейдите на страницу Сетевые настройки Маршрутизация, а затем на вкладку Статическая.

3 Нажмите кнопку Добавить.

4 Задайте следующие параметры маршрута:

IP-адрес назначения маршрута и маску подсети. Маска подсети должна быть указана в o битовом формате через слэш после IP-адреса (0.0.0.0/0).

Административная дистанция (см. глоссарий, стр. 158). Если вы не укажете значение o административной дистанции, то оно будет задано автоматически и равно 10. Если вы укажете административную дистанцию, и ее значение будет совпадать со значением административной дистанции, заданной протоколам динамической маршрутизации (см.

«Настройка административной дистанции для маршрутов DHCP-сервера» на стр. 126), маршрут не сможет быть добавлен. В этом случае создайте маршрут с другим значением административной дистанции.

ViPNet Coordinator HW 4. Настройка с помощью веб-интерфейса | 121 Вес (см. глоссарий, стр. 158). Укажите его в том случае, если вы создаете несколько o маршрутов в одну сеть с разными шлюзами, между которыми требуется производить балансировку нагрузки. Подробнее см. раздел Настройка балансировки IP-трафика.

Рисунок 60. Добавление статического маршрута 5 Нажмите кнопку Сохранить.

В результате маршрут появится в списке статических маршрутов. Кроме этого, он будет добавлен в таблицу RIB (см. «Принципы формирования таблиц маршрутизации в ViPNet Coordinator HW » на стр. 114) и появится на вкладке Сводная таблица. Если маршрут будет выбран наилучшим (см.

«Принципы формирования таблиц маршрутизации в ViPNet Coordinator HW» на стр. 114), то он будет загружен в таблицу FIB и начнет использоваться при маршрутизации IP-трафика. В этом случае в списке маршрутов на вкладке Сводная таблица он будет иметь значок.

Совет. Если вам требуется получить один статический маршрут с несколькими шлюзами, создайте несколько статических маршрутов в одну и ту же сеть с одинаковой административной дистанцией, указав в каждом по одному шлюзу. В результате эти маршруты будут просуммированы и объединены в один с несколькими шлюзами. Как правило, такие маршруты требуются для балансировки нагрузки, поэтому в маршрутах также должен быть задан вес шлюзам (см. «Настройка балансировки IP-трафика» на стр.

Если в списках не появился новый маршрут, обновите ее содержимое. Для этого нажмите кнопку Обновить.

При необходимости вы можете отредактировать значение административной дистанции и веса в маршруте. Для этого дважды щелкните строку маршрута, внесите необходимые изменения и нажмите кнопку Сохранить. Если вам нужно изменить IP-адрес назначения или шлюза, удалите маршрут и создайте новый с нужными параметрами. Чтобы удалить маршрут, в строке рядом с ним щелкните значок, после чего в появившемся окне сообщения нажмите кнопку OK.

ViPNet Coordinator HW 4. Настройка с помощью веб-интерфейса | 122 Настройка балансировки IP-трафика Если вы хотите ускорить процесс отправки IP-пакетов в сеть назначения, то вы можете создать несколько статических маршрутов в данную сеть через разные шлюзы и настроить балансировку IP-трафика между этими маршрутами. Это позволит в процессе разных TCP-соединений отправлять часть IP-пакетов по одному маршруту, часть — по другому, что повысит скорость передачи IPпакетов в сеть назначения. Балансировка IP-трафика настраивается с помощью одного из параметров маршрутов — веса (см. глоссарий, стр. 158) (weight). При этом все маршруты, которые будут участвовать в балансировке IP-трафика, должны иметь одинаковую административную дистанцию, то есть иметь одинаковый приоритет.

Примечание. При маршрутизации маршруты в одну сеть назначения и с одинаковой дистанцией объединяются в один маршрут с несколькими шлюзами (multi-hop route). При просмотре общей таблицы маршрутизации они отображаются как один маршрут с несколькими шлюзами (см. «Принципы формирования таблиц маршрутизации в ViPNet Coordinator HW» на стр. 114).

Для настройки балансировки IP-трафика выполните следующие действия:

1 Создайте нужное количество маршрутов (см. «Добавление статических маршрутов» на стр.

121) с одинаковым адресом назначения и с разными шлюзами.

2 Задайте каждому маршруту одинаковую административную дистанцию.

3 Задайте в каждом маршруте вес шлюзу. IP-трафик будет распределяться между шлюзами в соответствии с соотношением их весов. Например:

если вы создаете 2 маршрута и в каждом маршруте вес шлюза равен 1, то IP-трафик будет o разделен между этими маршрутами поровну, то есть 50% IP-трафика будет передаваться по одному маршруту, 50% — по второму;

если вы создаете 3 маршрута, и в первом маршруте вес шлюза равен 1, во втором — вес o шлюза равен 2, в третьем — вес шлюза равен 3, то по второму маршруту будет передаваться в два раза больше IP-трафика, чем по первому, по третьему — в три раза больше, чем по первому.

Пример создания статических маршрутов с весом шлюзов равным 1:

Примечание. Если в процессе создания маршрута вы не укажете вес шлюза, то автоматически шлюзу будет назначен вес равный 1. Вы не можете задать вес равный 0.

Балансировка IP-трафика будет осуществляться, только если созданные маршруты признаны наилучшими и присутствуют в таблице FIB (см. «Принципы формирования таблиц маршрутизации в ViPNet Coordinator HW» на стр. 114).

ViPNet Coordinator HW 4. Настройка с помощью веб-интерфейса | 124 Настройка динамической маршрутизации Если в вашей сети поддерживается работа по протоколу DHCP, PPP или OSPF (см. глоссарий, стр.

157), то вы можете настроить на ViPNet Coordinator HW динамическую маршрутизацию. Данные настройки позволят автоматически создавать таблицы маршрутизации на основе маршрутов, формируемых по данным протоколам, и распространять их между другими маршрутизаторами в рамках одной сети.

Внимание! Исполнения ViPNet Coordinator HW, которым назначены роли Coordinator HW50 A, B или Coordinator HW100 A, В, не поддерживают динамическую маршрутизацию.

Настройку динамической маршрутизации должен выполнять опытный администратор, понимающий принципы работы протоколов динамической маршрутизации, в том числе протокола OSPF. Приведенная в руководстве информация носит справочный характер.

Настройка параметров динамических маршрутов от DHCP/PPP-протокола Если на каком-либо сетевом интерфейсе ViPNet Coordinator HW включен режим DHCP и настроено автоматическое получение маршрутов от DHCP-сервера (см. «Настройка сетевых интерфейсов Ethernet» на стр. 24), то в процессе маршрутизации будут использоваться эти маршруты.

В этом случае выполните следующие дополнительные настройки:

1 Настройте административную дистанцию для протокола DHCP (см. «Настройка административной дистанции для маршрутов DHCP-сервера» на стр. 126). Это позволит определить приоритет маршрутов DHCP-сервера среди всех маршрутов, имеющихся в таблице RIB (статических маршрутов, маршрутов протокола OSPF, если такие есть).

2 Если режим DHCP включен на нескольких сетевых интерфейсах, настройте метрики DHCPпротокола на каждом сетевом интерфейсе, на котором включен этот режим (см. «Настройка метрики для маршрутов DHCP-сервера» на стр. 127). Это позволит определить приоритет среди маршрутов DHCP-сервера в одну и ту же сеть, полученных с разных сетевых интерфейсов.

Если ViPNet Coordinator HW подключен к сети 3G или 4G и получает информацию для маршрута по умолчанию от PPP-сервера провайдера (см. «Подключение к мобильной сети 3G, 4G» на стр. 34), и при этом он также подключен к другой сети и получает в ней маршрутную информацию от DHCPсервера, то в этом случае задайте метрику для PPP-протокола. Это позволит определить, какой маршрут по умолчанию (сформированный на основе шлюза по умолчанию от PPP-сервера или предоставленный DHCP-сервером) является приоритетным. Административная дистанция для этого протокола не задается и равна дистанции для протокола DHCP.

ViPNet Coordinator HW 4. Настройка с помощью веб-интерфейса | 125 Настройка административной дистанции для маршрутов DHCPсервера Если на ViPNet Coordinator HW настроено взаимодействие с DHCP-сервером, от которого поступают динамические маршруты для маршрутизации IP-трафика, а также настроена статическая маршрутизация (см. «Настройка статической маршрутизации» на стр. 121) или динамическая маршрутизация по протоколу OSPF (см. «Настройка параметров динамической маршрутизации по протоколу OSPF» на стр. 130), то требуется задать административную дистанцию для маршрутов DHCP-протокола. Административная дистанция определит приоритет данных маршрутов среди всех остальных, и в случае, если будет обнаружено несколько маршрутов в одну и ту же сеть из разных источников, будет выбран тот маршрут, у которого выше приоритет. Чем меньше значение административной дистанции (см. глоссарий, стр. 158), тем выше приоритет маршрута.

Примечание. Административная дистанция определяет приоритет всех маршрутов DHCP-сервера, независимо от того, на какой сетевой интерфейс они поступили.

Чтобы задать административную дистанцию для маршрутов, поступающих от DHCP-сервера, выполните следующие действия:

1 Войдите в веб-интерфейс ViPNet Coordinator HW в режиме администратора (см.

«Подключение к веб-интерфейсу» на стр. 17).

2 Перейдите на страницу Сетевые настройки Маршрутизация, а затем на вкладку DHCP/PPP.

3 Введите значение административной дистанции в поле Дистанция и нажмите кнопку Сохранить. По умолчанию указана административная дистанция 70.

Рисунок 62. Задание административной дистанции маршрутам DHCP-сервера Примечание. В командном интерпретаторе ViPNet Coordinator HW вы также можете задать административную дистанцию для маршрутов по умолчанию. В текущей версии веб-интерфейса такая возможность отсутствует.

ViPNet Coordinator HW 4. Настройка с помощью веб-интерфейса | 126 Настройка метрики для маршрутов DHCP-сервера Если на ViPNet Coordinator HW режим DHCP включен на нескольких сетевых интерфейсах, то может сложиться ситуация, когда с этих интерфейсов поступят одинаковые маршруты от DHCP-сервера в одну и ту же сеть. В этом случае требуется определить, какой маршрут является наилучшим, чтобы добавить его в FIB (см. «Принципы формирования таблиц маршрутизации в ViPNet Coordinator HW» на стр. 114) и использовать при маршрутизации. Параметром, позволяющим выбрать наилучший маршрут, выступает метрика (см. глоссарий, стр. 159). Ее можно задать на каждом сетевом интерфейсе, на котором включен режим DHCP, чтобы определить приоритет маршрутов DHCP-сервера на разных интерфейсах. Чем меньше значение метрики, тем выше приоритет маршрута. Если на интерфейсах заданы одинаковые метрики, то поступившие маршруты в одну и ту же сеть будут объединены в один маршрут с несколькими шлюзами.

В ViPNet Coordinator HW вы можете задать или удалить метрику для маршрутов DHCP-сервера на конкретном сетевом интерфейсе (далее — специфичная метрика). Если специфичная метрика не задана, то вместо нее используется метрика по умолчанию.

Задать специфичную метрику для протокола DHCP вы можете на сетевых интерфейсах следующих типов:

Ethernet (см. «Настройка сетевых интерфейсов Ethernet» на стр. 24).

VLAN (см. «Организация обработки трафика из нескольких VLAN» на стр. 28).

Wi-Fi (wlan) (см. «Подключение к беспроводной сети Wi-Fi» на стр. 31).

Агрегированный интерфейс (см. «Использование агрегированных сетевых интерфейсов» на стр. 36).

на нескольких сетевых интерфейсах включен режим DHCP;

на этих интерфейсах настроен параметр автоматического получения маршрутов от DHCP-сервера.

Если режим DHCP включен только на одном сетевом интерфейсе, то настройка специфичной метрики не требуется, поскольку для группы маршрутов в рамках одного сетевого интерфейса она всегда будет одинаковой.

Чтобы настроить метрику для маршрутов, поступающих от DHCP-сервера, на сетевом интерфейсе одного из указанных типов, выполните следующие действия:

1 Войдите в веб-интерфейс ViPNet Coordinator HW в режиме администратора (см.

«Подключение к веб-интерфейсу» на стр. 17).

2 Перейдите на страницу Сетевые настройки Сетевые интерфейсы.

3 На левой панели выберите интерфейс, на котором требуется задать метрику.

4 Убедитесь, что на данном интерфейсе включен режим DHCP (установлен флажок Автоматически получать настройки) и настроено автоматическое получение маршрутов от него (установлен флажок Маршруты).

Рисунок 63. Задание метрики для протокола DHCP на конкретном сетевом интерфейсе 6 Если требуется удалить метрику на сетевом интерфейсе, удалите ее значение в указанном поле. После удаления метрики на этом интерфейсе будет использоваться метрика по умолчанию.

Настройка метрики для маршрутов PPP-протокола Если ViPNet Coordinator HW подключен к мобильной сети 3G или 4G (см. «Подключение к мобильной сети 3G, 4G» на стр. 34), то при первом соединении с сервером провайдера он может получить от него по протоколу PPP IP-адрес шлюза по умолчанию, на основе которого будет добавлен маршрут по умолчанию (см. глоссарий, стр. 159).

Примечание. Шлюз по умолчанию поступает на ViPNet Coordinator HW от PPP-сервера только, если в свойствах интерфейса модема установлен флажок Маршруты.

Если кроме подключения к сети 3G, 4G, ViPNet Coordinator HW также подключен к другим сетям, в которых информация об адресах и маршрутах распространяется DHCP-сервером, то он также будет получать маршруты по умолчанию по протоколу DHCP. Если требуется, чтобы маршрут по умолчанию PPP-протокола имел выше приоритет, чем маршруты по умолчанию DHCP-протокола, и использовался в процессе маршрутизации, требуется задать метрику для протокола PPP (далее – специфичную метрику). Причем она должна быть меньше метрики DHCP-протокола на каждом сетевом интерфейсе, на которых они заданы. Если специфичная метрика не будет задана, то вместо нее будет использоваться метрика по умолчанию (см. «Изменение метрики по умолчанию для маршрутов от DHCP/PPP-протокола» на стр. 129). В этом случае маршруты по умолчанию PPP- и DHCP-протокола будут иметь одинаковый приоритет.

ViPNet Coordinator HW 4. Настройка с помощью веб-интерфейса | 128 Метрику для PPP-протокола вы можете настроить в свойствах интерфейса модема и только в том случае, если разрешено добавление маршрута по умолчанию от PPP-сервера провайдера.

Для этого выполните следующие действия:

1 Войдите в веб-интерфейс ViPNet Coordinator HW в режиме администратора (см.

«Подключение к веб-интерфейсу» на стр. 17).

2 Перейдите на страницу Сетевые настройки Сетевые интерфейсы.

3 На левой панели выберите интерфейс модема.

4 Убедитесь, что на данном интерфейсе разрешено добавление маршрута по умолчанию (установлен флажок Маршруты).

5 Введите значение метрики в поле Метрика и нажмите кнопку Сохранить.

Рисунок 64. Задание метрики для протокола PPP на сетевом интерфейсе модема 6 Если требуется удалить метрику на сетевом интерфейсе, удалите ее значение в указанном поле. После удаления метрики на этом интерфейсе будет использоваться метрика по умолчанию.

Изменение метрики по умолчанию для маршрутов от DHCP/PPPпротокола Если для маршрутов DHCP/PPP-протокола не задавались специфичные метрики, то для определения приоритета маршрутов этих протоколов будет использоваться метрика по умолчанию. Первоначально метрика по умолчанию равна 70. При необходимости вы можете изменить это значение.

Для этого выполните следующие действия:

1 Войдите в веб-интерфейс ViPNet Coordinator HW в режиме администратора (см.

«Подключение к веб-интерфейсу» на стр. 17).

2 Перейдите на страницу Сетевые настройки Маршрутизация, а затем на вкладку DHCP/PPP.

3 Введите новое значение метрики в поле Метрика и нажмите кнопку Сохранить.

Первоначально метрика по умолчанию равна 70.

Настройка параметров динамической маршрутизации по протоколу OSPF Совет.

Настройка динамической маршрутизации по протоколу OSPF имеет смысл в том случае, если в сети, в которой установлен ViPNet Coordinator HW, одновременно выполняются следующие условия:

используются другие OSPF-маршрутизаторы и они напрямую связаны с ViPNet Coordinator HW;

поддерживается многоадресное вещание (multicast);

по требованиям безопасности вашей организации разрешена передача IP-трафика по протоколу OSPF между сетевыми узлами.

В процессе настройки маршрутизации по протоколу OSPF вам потребуется:

включить использование протокола OSPF;

указать сети, к которым подключен ViPNet Coordinator HW и которые будут участвовать в маршрутизации по протоколу OSPF, и области маршрутизации (см. глоссарий, стр. 159);

создать ряд сетевых фильтров.

При настройке динамической маршрутизации по протоколу OSPF следует учитывать следующие рекомендации и ограничения:

В случае сбоя на одном из маршрутов для переключения на альтернативный маршрут может потребоваться до 15 минут. Чтобы уменьшить время переключения, рекомендуется в файле iplir.conf в секциях [id], соответствующих связанным координаторам ViPNet, задать более короткий период опроса, изменив значение параметра checkconnection_interval (подробнее см. в документе «ViPNet Coordinator HW. Справочное руководство по конфигурационным файлам»). Например, можно задать для параметра значение 30 секунд.

При этом необходимо учитывать, что сокращение периода опроса приведет к увеличению количества служебного трафика между координаторами, в результате чего может снизиться производительность координаторов.

ViPNet Coordinator HW 4. Настройка с помощью веб-интерфейса | 130 Если ваш ViPNet Coordinator HW непосредственно связан с другими координаторами ViPNet, рекомендуется в файле iplir.conf в секциях [id], соответствующих этим координаторам, указать в параметре accessiplist метрику 1. В этом случае при наличии нескольких альтернативных маршрутов защищенный трафик всегда будет передаваться по кратчайшему маршруту — через соседний координатор ViPNet.

При необходимости вы также можете настроить перераспределение маршрутов (см. глоссарий, стр. 159) по протоколу OSPF.

Настройка протокола OSPF

Для настройки протокола OSPF выполните следующие действия:

1 Войдите в веб-интерфейс ViPNet Coordinator HW в режиме администратора (см.

«Подключение к веб-интерфейсу» на стр. 17).

2 Перейдите на страницу Сетевые настройки Маршрутизация, а затем на вкладку OSPF.

3 В разделе Настройки включите использование протокола, установив переключатель в верхней части страницы в положение Включена.

4 Укажите подсеть, в которой должна осуществляться маршрутизация по протоколу OSPF. Для этого нажмите кнопку Добавить и укажите следующие параметры:

IP-адрес подсети и маску подсети в нотации CIDR (например, 0.0.0.0/0).

o Область маршрутизации (см. глоссарий, стр. 159), в которую входит указанная подсеть.

o Нажмите кнопку Сохранить.

Настройка OSPF-протокола 5 Создайте следующие сетевые фильтры открытой сети:

ViPNet Coordinator HW 4.

Настройка с помощью веб-интерфейса | 131 Фильтры, разрешающие входящий однонаправленный IP-трафик (unicast) и o широковещательный (multicast) IP-трафик по протоколу OSPF от всех соседних OSPFмаршрутизаторов, с которыми взаимодействует ViPNet Coordinator HW:

Таблица 8. Фильтры для входящего OSPF-трафика

Фильтр, разрешающий исходящий IP-трафик ViPNet Coordinator HW по протоколу OSPF от o любого IP-адреса источника:

Таблица 9. Фильтры для исходящего OSPF-трафика

Если впоследствии потребуется отказаться от использования протокола OSPF для маршрутизации, установите переключатель в положение Отключена.

Если в подсети прекращено использование протокола OSPF, удалите ее. Чтобы удалить подсеть, в строке рядом с ней щелкните значок, после чего в появившемся окне сообщения нажмите кнопку OK.

ViPNet Coordinator HW 4. Настройка с помощью веб-интерфейса | 132 Настройка перераспределения маршрутов Протокол OSPF позволяет осуществлять перераспределение (redistribute) маршрутов (см.

глоссарий, стр. 159). В каких случаях это может требоваться?

В одной разветвленной сети может быть образовано нескольких автономных систем (см.

глоссарий, стр. 157) по причине использования в разных подсетях разных протоколов маршрутизации. Например, в одной подсети может использоваться статическая маршрутизация, в другой — динамическая маршрутизация по протоколу OSPF. В результате это образует две автономные системы. Чтобы системы могли взаимодействовать друг с другом, на маршрутизаторе, который установлен на границе этих систем, требуется настроить перераспределение маршрутов. В результате произойдет обмен маршрутной информацией, получаемой из этих систем, и они будут иметь связь друг с другом.

На рисунке ниже показана схема взаимодействия нескольких автономных систем.

Рисунок 67. Пример топологии сети с настроенным перераспределением маршрутов В приведенном примере рассматривается 4 взаимодействующих подсети, 2 из которых входят в одну автономную систему, поскольку они работают по одному протоколу OSPF, остальные — в две другие автономные системы, поскольку они работают по протоколам Static и DHCP соответственно.

При этом маршрутизатор 1 является граничным маршрутизатором (см. «Общие сведения для работы по протоколу OSPF» на стр. 119), поскольку он расположен на границе трех автономных систем. Чтобы маршрутизаторы 2 и 3 могли получить информацию о маршрутах, используемых на маршрутизаторах 4 и 5, и, соответственно, чтобы узлы сети филиала и сетей партнеров могли обмениваться IP-трафиком друг с другом, требуется настроить перераспределение маршрутов на маршрутизаторе 1. После настройки маршруты, полученные из сетей партнеров (от маршрутизаторов 4 и 5) на маршрутизаторе 1, будут передаваться на маршрутизатор 2, а с ViPNet Coordinator HW 4. Настройка с помощью веб-интерфейса | 133 маршрутизатора 2 — на маршрутизатор 3. В результате маршрутизатор 3 будет знать статические маршруты, прописанные в сети партнера 1, и маршруты, выдаваемые DHCP-сервером, в сети партнера 2.

Чтобы настроить параметры перераспределения маршрутов, выполните следующие действия:

1 Войдите в веб-интерфейс ViPNet Coordinator HW в режиме администратора (см.

«Подключение к веб-интерфейсу» на стр. 17).

2 Перейдите на страницу Сетевые настройки Маршрутизация, а затем на вкладку OSPF.

3 В разделе Настройки установите флажок в группе Распространять маршруты:

DHCP, чтобы включить перераспределение маршрутов DHCP-сервера.

o Статические, чтобы включить перераспределение статических маршрутов.

o Рисунок 68. Включение перераспределения маршрутов DHCP-сервера 4 Чтобы выключить перераспределение маршрутов, снимите соответствующие флажки.

5 Нажмите кнопку Сохранить.

ViPNet Coordinator HW 4. Настройка с помощью веб-интерфейса | 135 Мониторинг состояния ViPNet Coordinator HW Вы можете следить за состоянием узла ViPNet Coordinator HW в режиме реального времени, просматривая графики загрузки процессора и оперативной памяти, время непрерывной работы, а также текущее состояние демонов и драйверов ViPNet Coordinator HW.

Примечание. Для демона системы защиты от сбоев failover на странице Состояние системы также отображается режим работы (одиночный режим или режим кластера горячего резервирования).

При работе в режиме кластера горячего резервирования графики загрузки процессора и оперативной памяти отображаются только для активного сервера кластера.

Чтобы просмотреть информацию о текущем состоянии ViPNet Coordinator HW, выполните следующие действия:

1 На начальной странице веб-интерфейса щелкните плитку Мониторинг.

2 На странице Состояние системы будет отображена информация о ViPNet Coordinator HW. На данной странице вы можете следить за изменением отображенных параметров.

3 События, связанные с демонами, входящими в состав ViPNet Coordinator HW, записываются в журнал устранения неполадок ПО ViPNet. Этот журнал позволяет диагностировать правильность функционирования ПО. Он содержит большое количество деталей о процессах, происходящих внутри служб ViPNet Coordinator HW, и предназначен для разработчиков.

Чтобы загрузить архив с расширением *.zip, содержащий текстовый файл журнала устранения неполадок ПО ViPNet, нажмите кнопку Получить файл журнала.

Внимание! Загрузка архива журнала устранения неполадок доступна только в режиме администратора (см. «Режимы пользователя и администратора» на стр. 14).

ViPNet Coordinator HW 4. Настройка с помощью веб-интерфейса | 137 Просмотр журнала регистрации IP-пакетов Управляющий демон ViPNet Coordinator HW ведет журнал регистрации IP-пакетов, в который заносится информация обо всех IP-пакетах, проходящих через сетевые интерфейсы узла.

Чтобы просмотреть этот журнал, выполните следующие действия:

1 Войдите в веб-интерфейс ViPNet Coordinator HW в режиме администратора (см.

«Подключение к веб-интерфейсу» на стр. 17).

2 На начальной странице веб-интерфейса щелкните плитку Мониторинг и перейдите на страницу Статистика и журналы. На вкладке Журнал регистрации IP-пакетов по умолчанию заданы параметры для просмотра записей обо всех IP-пакетов, прошедших через сетевые интерфейсы собственного узла за последний час (по умолчанию не более 100 записей). Чтобы просмотреть такие записи, нажмите кнопку Найти.

3 Чтобы выбрать записи из журнала регистрации IP-пакетов для просмотра, укажите следующие критерии поиска IP-пакетов:

В разделе Признаки IP-пакетов в соответствующих списках выберите:

В разделе Источник (Назначение) в соответствующих полях укажите:

o IP-адрес отправителя (получателя) или диапазон IP-адресов отправителей (получателей);

Чтобы указать идентификатор сетевого узла нажмите кнопку, в открывшемся окне выберите нужный узел в списке и нажмите кнопку Далее. Первым в этом списке отображается собственный узел.

Чтобы поменять местами IP-адреса, сетевые узлы и порты отправителей и получателей, нажмите соответствующую кнопку.

Чтобы одновременно просмотреть не только записи об IP-пакетах, переданных отправителем получателю, но и об IP-пакетах, переданных в обратном направлении, установите флажок искать в обоих направлениях.

В разделе Общие:

чтобы ограничить число записей об IP-пакетах, отображаемое в результате поиска, установите соответствующий флажок и укажите это число.

Затем нажмите кнопку Найти. В результате на вкладке Журнал регистрации IP-пакетов отобразится список записей об IP-пакетах, отвечающих заданным критериям поиска.

Просмотр записей в журнале регистрации IP-пакетов 4 Выполните одно из действий:

Для просмотра подробной информации об IP-пакете дважды щелкните соответствующую o запись в списке.

Для экспорта списка найденных записей об IP-пакетах в файл формата XLS (например, для o

ViPNet Coordinator HW 4.

Настройка с помощью веб-интерфейса | 140 Просмотр статистической информации об IP-пакетах Чтобы просмотреть статистическую информацию о количестве IP-пакетов, блокированных или пропущенных на узле, выполните следующие действия:

1 Перейдите на страницу Мониторинг Статистика и журналы и выберите вкладку Статистика.

В результате отобразится информация о количестве открытых, зашифрованных, широковещательных открытых и широковещательных зашифрованных IP-пакетах, прошедших через все сетевые интерфейсы узла.

Рисунок 72. Просмотр информации о количестве IP-пакетов, прошедших через все сетевые интерфейсы ViPNet Coordinator HW 2 Чтобы просмотреть информацию о количестве IP-пакетов, прошедших через определенный сетевой интерфейс ViPNet Coordinator HW, выберите этот интерфейс в списке на панели инструментов.

ViPNet Coordinator HW 4. Настройка с помощью веб-интерфейса | 142 Просмотр системного журнала

Чтобы просмотреть системный журнал ViPNet Coordinator HW, выполните следующие действия:

1 На начальной странице веб-интерфейса щелкните плитку Мониторинг и перейдите на страницу Статистика и журналы. На вкладке Системный журнал по умолчанию заданы параметры для просмотра записей о всех службах за все время работы ViPNet Coordinator HW.

2 Чтобы выбрать записи из системного журнала для просмотра, укажите следующие критерии поиска записей:

В разделе Фильтр событий выберите службу в соответствующем списке и введите o текстовую строку для поиска. Нажмите кнопку Применить фильтр.

В разделе Переход к времени задайте дату и время, чтобы просмотреть записи журнала с o указанного момента времени. Нажмите кнопку Перейти.

Рисунок 73. Просмотр записей в системном журнале ViPNet Coordinator HW 4. Настройка с помощью веб-интерфейса | 143 Сетевые фильтры по умолчанию Сетевые фильтры, в том числе фильтры системы защиты от сбоев, создаваемые в ViPNet Coordinator HW по умолчанию, перечислены в таблицах ниже.

Таблица 10. Фильтры защищенной сети (vpn)

ViPNet Coordinator HW 4. Настройка с помощью веб-интерфейса | 147 B Пользовательские группы протоколов по умолчанию По умолчанию в ViPNet Coordinator HW настроены пользовательские группы протоколов, перечисленные в таблице ниже.

Таблица 14. Пользовательские группы протоколов, настроенные по умолчанию Имя группы протоколов Состав группы протоколов

ViPNet Coordinator HW 4.

Настройка с помощью веб-интерфейса | 150 C Типы событий в журнале регистрации IP-пакетов Типы событий, регистрируемых в журнале IP-пакетов ViPNet Coordinator HW, можно поделить на следующие группы и подгруппы:

Рисунок 74. Классификация событий в журнале IP-пакетов Описание типов событий каждой подгруппы приведено в таблицах.

ViPNet Coordinator HW 4. Настройка с помощью веб-интерфейса | 151 Таблица 15. События подгруппы Все IP-пакеты/Блокированные IP-пакеты/IP-пакеты, блокированные сетевыми фильтрами защищенной сети Номер Описание события события

2 Неверное значение имитозащитной вставки пакета. Защищенные данные или открытая информация в пакете были изменены при передаче 3 Входящий зашифрованный или предназначенный для шифрования исходящий открытый пакет заблокирован фильтром защищенной сети 4 Слишком большой тайм-аут пакета, то есть время его отправки отличается от времени его получения на величину, большую указанной в соответствующей настройке 5 Входящий пакет отправлен сетевым узлом с версией драйвера ViPNet, не совместимой с версией драйвера ViPNet на сетевом узле получателя 7 Метод шифрования, код которого указан во входящем пакете, не поддерживается 8 Недопустимые параметры в расшифрованном пакете 9 IP-пакет блокирован главным фильтром защищенной сети 10 Неизвестен идентификатор сетевого узла отправителя пакета 13 Превышено максимальное время пребывания пакета в сети

15 Превышено допустимое количество одновременно обрабатываемых фрагментированных пакетов 16 Исчерпана лицензия на количество туннелируемых узлов

70 Транзитный IP-пакет заблокирован фильтром защищенной сети Таблица 16. События подгруппы Все IP-пакеты/Блокированные IP-пакеты/IP-пакеты, блокированные сетевыми фильтрами открытой сети Номер Описание события события

21 Идентификатор отправителя пакета неизвестен 22 От защищенного узла получен открытый пакет 23 От защищенного узла получен открытый широковещательный пакет

24 На порт, используемый одним из демонов ViPNet, получен открытый пакет 30 Локальный пакет заблокирован фильтром открытой сети 31 Транзитный пакет заблокирован фильтром открытой сети 32 Широковещательный пакет заблокирован фильтром открытой сети 33 Пакет заблокирован фильтром антиспуфинга 37 Пакет заблокирован фильтром туннелируемых ресурсов 39 Пакет заблокирован фильтром по умолчанию при загрузке компьютера Таблица 17. События подгруппы Все IP-пакеты/Блокированные IP-пакеты/IP-пакеты, блокированные по другим причинам Номер Описание события события 80 Размер заголовка IP-пакета меньше допустимого 81 Недопустимая версия протокола IP (поддерживается только IPv4) 82 Длина заголовка IP-пакет меньше допустимой 83 Длина IP-пакета меньше указанной в IP-заголовке

85 Размер TCP-заголовка меньше допустимого 86 Размер UDP-заголовка меньше допустимого 87 Обработаны не все фрагменты IP-пакета 88 Широковещательный адрес отправителя в IP-пакете 89 Перекрытие фрагментов IP-пакета. Наиболее устаревший из перекрываемых фрагментов IP-пакета отброшен 90 Для обработки IP-пакета недостаточно ресурсов компьютера. В случае многократного повторения этого события рекомендуется обновить версию ViPNet Coordinator HW или улучшить вычислительные характеристики компьютера 91 IP-пакет получен во время инициализации драйвера ViPNet

93 По истечении допустимого времени получены не все фрагменты IP-пакета 95 Получены два IP-пакета от узлов с разными IP-адресами и одинаковыми идентификаторами 99 Заблокирован фрагментированный IP-пакет

101 Транзитный IP-пакет не может быть маршрутизирован 102 Прикладной пакет не обработан, так как не загружен модуль обработки на прикладном уровне 103 Количество установленных соединений превышает допустимое значение, заданное в соответствующих настройках 104 Соединение заблокировано, так как параметры исходящих пакетов (socketpair) для этого соединения совпадают с такими параметрами для ранее установленного соединения 105 Не удалось выделить динамический порт для правила трансляции адресов (в пуле нет свободных портов)

112 Неверное значение имитозащитной вставки в незашифрованном пакете версии 4.2 113 Неизвестный идентификатор сетевого узла отправителя 115 Не удалось найти маршрут для IP-пакета в таблице маршрутизации 116 Не найден сетевой адаптер 117 Не удалось определить MAC-адрес получателя пакета по его IP-адресу 118 Ошибка при шифровании исходящего IP-пакета для защищенного узла 119 Получен зашифрованный IP-пакет неизвестного формата, который не может быть расшифрован 120 Ошибка при отправке IP-пакета защищенному узлу из-за проблем с доступом к этому узлу 121 Ошибка в работе кластера горячего резервирования 122 Получен IP-пакет неизвестного протокола канального уровня 130 Отсутствуют свободные динамические порты, необходимые для создания соединения 131 Ошибка обработки прикладных протоколов: не удалось построить маршрут 132 Ошибка обработки прикладных протоколов: отсутствуют свободные динамические порты UDP 133 Ошибка обработки прикладных протоколов: порты источника и назначения IP-пакета принадлежат разным прикладным сервисам 134 Ошибка обработки прикладных протоколов: ошибка в таблице соответствия между прикладными сервисами и сетевыми протоколами, портами 137 Шифрование исходящего IP-пакета с использованием данного алгоритма запрещено (тесты алгоритма не прошли) ViPNet Coordinator HW 4. Настройка с помощью веб-интерфейса | 154 Таблица 18. События группы Все IP-пакеты/Все пропущенные IP-пакеты/Пропущенные зашифрованные IP-пакеты Номер Описание события события 40 Пропущен зашифрованный IP-пакет 41 Пропущен зашифрованный широковещательный IP-пакет 44 Маршрутизация зашифрованного транзитного IP-пакета с подменой адреса получателя 45 Пакет пропущен на туннелирующем координаторе, так как он поступил от туннелируемого узла или предназначен для такого узла Таблица 19. События группы Все IP-пакеты/Все пропущенные IP-пакеты/Пропущенные незашифрованные IP-пакеты Номер Описание события события 60 Пропущен незашифрованный IP-пакет 61 Пропущен незашифрованный широковещательный IP-пакет 62 Пропущен незашифрованный транзитный IP-пакет 63 IP-пакет пропущен фильтром для туннелируемых ресурсов 64 IP-пакет пропущен при запуске операционной системы 65 Пропущен зашифрованный IP-пакет для незарегистрированного узла ViPNet Таблица 20. События группы Все IP-пакеты/Служебные события Номер Описание события события 42 Изменился IP-адрес сетевого узла 46 Изменились параметры доступа к сетевому узлу 47 Истек интервал отправки IP-пакетов, передаваемых сетевым узлом своему серверу соединений. Событие может возникать только для тех узлов, которые работают через межсетевой экран с динамической трансляцией адресов 48 Узел доступен по широковещательному адресу 49 Изменился IP-адрес собственного сетевого узла 110 Новый IP-адрес сетевого узла зарегистрирован на DNS-сервере 114 DNS-имя узла не зарегистрировано на DNS-сервере ViPNet Coordinator HW 4. Настройка с помощью веб-интерфейса | 155 D Глоссарий DHCP-сервер Сервер, автоматически администрирующий IP-адреса DHCP-клиентов и выполняющий соответствующую настройку для сети.

DNS-сервер Сервер, содержащий часть базы данных DNS, используемой для доступа к именам компьютеров в интернет-домене. Например, ns.domain.net. Как правило, информация о домене хранится на двух DNS-серверах, называемых «Primary DNS» и «Secondary DNS» (дублирование делается для повышения отказоустойчивости системы).

Также DNS-сервер называют сервером доменных имен, сервером имен DNS.

L2OverIP Технология, которая позволяет организовать защиту удаленных сегментов сети, использующих одно и то же адресное пространство, на канальном уровне модели OSI. В результате узлы из разных сегментов смогут взаимодействовать друг с другом так, как будто они находятся в одном сегменте с прямой видимостью по MAC-адресам. В основе технологии лежит перехват на канальном уровне модели OSI Ethernet-кадров, отправленных из одного сегмента сети в другой.

MIME-тип Тип данных, которые могут быть переданы с помощью Интернета с применением стандарта MIME.

NTP-сервер Сервер точного времени, который необходим для синхронизации времени компьютеров, рабочих станций, серверов и прочих сетевых устройств. Этот сервер играет роль посредника между ViPNet Coordinator HW 4. Настройка с помощью веб-интерфейса | 156 эталоном времени и сетью. Он получает время от эталона по специальному каналу (интерфейсу) и выдает его для любого узла сети, обеспечивая тем самым синхронизацию устройств.

OSPF (Open Shortest Path First) Протокол динамической маршрутизации, основанный на технологии отслеживания состояния канала для нахождения кратчайшего маршрута. Распространяет информацию о доступных маршрутах внутри автономной системы.

ViPNet Policy Manager Программа, которая входит в состав программного комплекса ViPNet. Предназначена для централизованного управления политиками безопасности узлов защищенной сети ViPNet.

ViPNet Центр управления сетью (ЦУС) ViPNet Центр управления сетью — это программа, входящая в состав программного обеспечения ViPNet Administrator.

Предназначена для создания и управления конфигурацией сети и позволяет решить следующие основные задачи:

построение виртуальной сети (сетевые объекты и связи между ними, включая межсетевые);

изменение конфигурации сети;

формирование и рассылка справочников;

рассылка ключей узлов и ключей пользователей;

формирование информации о связях пользователей для УКЦ;

задание полномочий пользователей сетевых узлов ViPNet.

VLAN Виртуальная локальная компьютерная сеть, представляет собой группу узлов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к широковещательному домену, независимо от их физического местонахождения. VLAN имеет те же свойства, что и физическая локальная сеть, но позволяет узлам группироваться вместе, даже если они не находятся в одной физической сети.

Автономная система Один или несколько сегментов сети, в которых осуществляется маршрутизация по одному протоколу (OSPF, IGRP, EIGRP, IS-IS, RIP, BGP, Static). Также может трактоваться как домен маршрутизации — группа маршрутизаторов сети, работающих по одинаковым протоколам маршрутизации.

Агрегированный сетевой интерфейс Логический сетевой интерфейс (см. глоссарий, стр. 160), образованный из нескольких физических интерфейсов Ethernet, объединенных на канальном уровне сетевой модели OSI.

ViPNet Coordinator HW 4. Настройка с помощью веб-интерфейса | 157 Административная дистанция Характеристика маршрута (см. глоссарий, стр. 159). Позволяет определить меру доверия к маршруту. Задается для любого маршрута в виде целого числа в диапазоне от 1 до 255.

Вес Параметр, который задается для шлюза в статическом маршруте (см. глоссарий, стр. 159) в виде целого числа в диапазоне от 1 до 255. Позволяет настроить балансировку IP-трафика между шлюзами в одинаковый адрес назначения. Определяет долю IP-трафика, который должен передаваться по маршруту на указанный шлюз.

Домен коллизий Часть сети Ethernet, все узлы которой конкурируют за общую разделяемую среду передачи и, следовательно, каждый узел которой может создать коллизию с любым другим узлом этой части сети.

Сеть Ethernet, построенная на повторителях, всегда образует один домен коллизий. Мосты, коммутаторы и маршрутизаторы делят сеть Ethernet на несколько доменов коллизий.

Защищенный IP-трафик Поток IP-пакетов, зашифрованных с помощью программного обеспечения ViPNet.

Класс сетевого интерфейса Признак, определяющий назначение сетевого интерфейса. В ViPNet Coordinator HW интерфейсам можно назначить следующие классы: access, trunk, slave.

По умолчанию сетевому интерфейсу назначен класс access. Если требуется, чтобы интерфейс Ethernet или агрегированный интерфейс обрабатывал трафик из нескольких VLAN, ему необходимо назначить класс trunk. Чтобы объединить несколько интерфейсов Ethernet в агрегированный интерфейс, каждому из таких интерфейсов необходимо предварительно назначить класс slave.

Кластер горячего резервирования Кластер горячего резервирования состоит из двух взаимосвязанных серверов ViPNet Coordinator HW, один из которых (активный) выполняет функции координатора сети ViPNet, а другой сервер (пассивный) находится в режиме ожидания. В случае сбоев, критичных для работоспособности ПО ViPNet на активном сервере, пассивный сервер переключается в активный режим для выполнения функций сбойного сервера. При этом сбойный сервер перезагружается и становится пассивным.

Клиент (ViPNet-клиент) Сетевой узел ViPNet, который является начальной или конечной точкой передачи данных. В отличие от координатора клиент не выполняет функции маршрутизации трафика и служебной информации.

Маршрут Путь следования IP-трафика при передаче в сети от одного узла другому.

Маршрут по умолчанию Путь следования IP-пакетов, для которых не был найден подходящий маршрут в таблице маршрутизации.

Маршрутизатор-сосед OSPF-маршрутизатор, находящиеся в одной области маршрутизации с другими маршрутизаторами этого типа.

Межсетевой экран Устройство на границе локальной сети, служащее для предотвращения несанкционированного доступа из одной сети в другую. Межсетевой экран проверяет весь входящий и исходящий IPтрафик, после чего принимается решение о возможности дальнейшего направления трафика к пункту назначения. Межсетевой экран обычно осуществляет преобразование внутренних адресов в адреса, доступные из внешней сети (выполняет NAT).

Метрика маршрута Предназначена для задания приоритета маршрута передачи IP-трафика.

Область маршрутизации Одна или несколько IP-сетей, в которых осуществляется обмен информацией по определенному протоколу, в частности, по протоколу OSPF (см. глоссарий, стр. 157).

Протокол OSPF рассматривает межсетевую среду как множество областей, соединенных друг с другом через некоторую базовую область (backbone area). Для идентификации областей каждой из них выделяется специальный идентификатор (area ID), представляющий собой 32-разрядное число, которое записывается так же, как и IP-адрес — в десятично-точечном формате (в виде четырех однобайтовых чисел, разделенных точками).

Открытый трафик Поток незашифрованных IP-пакетов.

Перераспределение маршрутов Обмен маршрутной информацией между двумя различными маршрутизирующими протоколами.

ViPNet Coordinator HW 4. Настройка с помощью веб-интерфейса | 159 Персональный ключ пользователя Главный ключ защиты ключей, к которым имеет доступ пользователь. Действующий персональный ключ необходимо хранить в безопасном месте.

Прозрачный режим работы прокси-сервера Режим работы, при котором не требуется выполнять настройку программного обеспечения на рабочих местах пользователей, подключающихся к Интернету через прокси-сервер.

Прокси-сервер Программа, транслирующая соединения по некоторым протоколам из внутренней сети во внешнюю и выступающая при этом как посредник между клиентами и сервером.

Публичный адрес IP-адрес, который может применяться в Интернете.

Сетевой интерфейс Физическое или виртуальное устройство для подключения компьютера к сети. С помощью сетевого интерфейса компьютер осуществляет прием и передачу IP-пакетов. В качестве физического интерфейса может служить сетевая плата, модем и другие подобные устройства, в качестве виртуального — агрегированный интерфейс, интерфейс для VLAN (см. глоссарий, стр. 157).

Сетевой фильтр Совокупность параметров, на основании которых сетевой экран программного обеспечения ViPNet пропускает или блокирует IP-пакет.

Сеть ViPNet Логическая сеть, организованная с помощью программного обеспечения ViPNet и представляющая собой совокупность сетевых узлов ViPNet.

Сеть ViPNet имеет свою адресацию, позволяющую наладить обмен информацией между ее узлами.

Каждая сеть ViPNet имеет свой уникальный номер (идентификатор).

Стоимость маршрута Количество издержек, которые возникнут при отправке IP-пакета в сеть назначения через тот или иной шлюз. Стоимость маршрута обратно пропорциональна его пропускной способности канала связи.

Таблица маршрутизации Таблица, согласно которой происходит процесс выбора пути для передачи данных в сети.

ViPNet Coordinator HW 4. Настройка с помощью веб-интерфейса | 160 Трансляция сетевых адресов (NAT) Технология, позволяющая преобразовывать IP-адреса и порты, использующиеся в одной сети, в адреса и порты, использующиеся в другой.

Туннелирование Технология, позволяющая защитить соединения между узлами локальных сетей, которые обмениваются информацией через Интернет или другие публичные сети, путем инкапсуляции и шифрования трафика этих узлов не самими узлами, а координаторами, которые установлены на границе их локальных сетей. При этом установка программного обеспечения ViPNet на эти узлы необязательна, то есть туннелируемые узлы могут быть как защищенными, так и открытыми.

Узел сети ViPNet Сетевой узел, на котором установлено программное обеспечение ViPNet с функцией шифрования трафика на сетевом уровне.

Частный адрес Для сетей на базе протокола IP, не требующих непосредственного подключения к Интернету, выделено три диапазона IP-адресов: 10.0.0.0–10.255.255.255; 172.16.0.0–172.31.255.255; 192.168.0.0– 192.168.255.255, которые никогда не используются в Интернете. Чтобы выйти в Интернет с адресом из такого диапазона, необходимо использовать межсетевой экран с функцией NAT или технологию прокси.

Любая организация может использовать любые наборы адресов из этих диапазонов для узлов своей локальной сети.

Шлюз Устройство, предназначенное для соединения двух сетей с разными канальными протоколами.

Перед передачей данных из одной сети в другую шлюз их преобразует, обеспечивая совместимость протоколов.

Источник