This is an old revision of the document!
Table of Contents
Для первоначальной настройки и загрузки ключевой информации на устройство Dcrypt Smart SFP необходимо подключить устройство к компьютеру либо через оптическую развязку (медиаконвертер), либо в интерфейс сетевой карты, которая установлена в компьютере.
Рисунок 3 – Подключение устройства Dcrypt Smart SFP через оптический сетевой интерфейс на компьютере
Рисунок 4 – Подключение устройства Dcrypt Smart SFP через оптическую развязку / медиаконвертер
Конфигурация устройства осуществляется через web интерфейс. По умолчанию на комплекте трансиверов настроены сетевые адрес для первоначального доступа. Интерфейс трансивера доступен по адресу 192.168.2.1. Сeтевые адреса для доступа указаны на упаковке с трансиверами. При дальнейшей конфигурации устройства Dcrypt Smart SFP сетевой адрес как для внешнего интерфейса, так и для внутреннего можно изменить. Необходимо настроить сеть на вашем компьютере таким образом, чтобы сетевые адреса трансиверов были доступны. Проверить доступность можно с помощью протокола icmp. При наличии сетевой доступности до трансиверов необходимо открыть web браузер и ввести адрес «https://192.168.2.1». Если на ваших трансиверах настроены другие сетевые адреса, то вам необходимо использовать для подключения именно их. В новом окне (см. рисунок 5) необходимо авторизоваться на устройстве с параметрами: логин – root, пароль – Diamond1.
Рисунок 5 – Форма авторизации на устройстве Dcrypt Smart SFP
После успешной авторизации откроется страница с главным меню. Описание основных и дополнительных разделов представлено в таблице 1. Таблица 1 – Основные и дополнительные разделы web интерфейса Основной раздел Дополнительный раздел Описание Системные настройки Настройки времени Данный раздел предназначен для настройки локального времени и протокола NTP для синхронизации времени. Сетевые настройки IP адреса Данный раздел предназначен для настройки сетевых адресов на внешнем и внутреннем интерфейсах и маршрута по умолчанию. VPN VPN туннели Данный раздел предназначен для настройки защищенного соединения: задание основных параметров, задание настроек для клиентского туннеля и настроек для серверного туннеля.
Сертификаты и ключи Данный раздел предназначен для загрузки ключевой информации и сертификатов.
Журнал событий Настройка журналирования Данный раздел предназначен для просмотра журнала событий и настройки отправки журнала событий на удаленный сервер по протоколу rsyslog.
Настройка времени
Для просмотра текущего времени на устройстве Dcrypt Smart SFP необходимо в главном меню выбрать пункт «Системные настройки – Настройки Времени» (см. рисунок 6). В главной таблице доступна информация по настройкам текущего времени, а также по NTP серверам, которые настроены в системе.
Рисунок 6 – Проверка текущего времени на устройстве
В разделе «Локальное время» в поле «Текущее время» (см. рисунок 7) можно посмотреть текущее время на устройстве. Если текущее время на устройстве указано неверно, то в этом случае необходимо задать точное время и сохранить настройки. Для задания точного времени необходимо в поле «Новое время» задать дату в формате год, месяц, день и время в формате часы, минуты, секунды. Для задания времени можно воспользоваться либо значками календаря и часов, либо нажать на кнопку «Копировать время» и далее исправить значения в поле «Новое время» на актуальные.
Рисунок 7 – Задание точного времени на устройстве
После задания времени необходимо сохранить настройки. Для сохранения настроек необходимо нажать на кнопку «Сохранить».
Настройка протокола NTP
Для просмотра текущего времени на устройстве Dcrypt Smart SFP необходимо в главном меню выбрать пункт «Системные настройки – Настройки Времени». Для настройки механизма синхронизации точного времени с использованием протокола NTP необходимо задать текущую дату и время в разделе «Локальное время» (см. рисунок 8).
Рисунок 8 – Просмотр текущих настроек для протокола NTP
Далее в разделе «Настройка NTP» в поле «Адрес сервера» (см. рисунок 9) необходимо задать сетевой адрес сервера точного времени, к которому будет обращаться устройство.
Рисунок 9 – Задание NTP сервера для синхронизации точного времени
Для добавления нескольких NTP серверов необходимо нажать на кнопку «Добавить NTP Сервер» (см. рисунок 10). Для удаления NTP сервера необходимо выбрать адрес NTP сервера, который необходимо удалить, и нажать на кнопку «Удалить» (см. рисунок 11). После внесения изменений необходимо сохранить настройки. Для сохранения настроек необходимо нажать на кнопку «Сохранить».
Рисунок 10 – Добавление нескольких NTP серверов
Рисунок 11 – Удаление адреса для NTP сервера
Настройка сетевых адресов
Для просмотра текущих сетевых настроек на интерфейсах устройства Dcrypt Smart SFP необходимо в главном меню выбрать пункт «Сетевые настройки – IP адреса» (см. рисунок 12). В главной таблице отображается информация о текущих настройках для внешнего интерфейса, внутреннего интерфейса и основного шлюза.
Рисунок 12 – Просмотр настроек сетевых интерфейсов
Внешний интерфейс – это интерфейс, который смотрит в оптических канал и через него устанавливается защищенное соединение. Внутренний интерфейс – это интерфейс, который смотрит в сторону сетевого оборудования, и он является менеджмент интерфейсом для устройства Dcrypt Smart SFP. Основной шлюз необходимо задавать для сетевой доступности рабочей станции администратора, удаленного сервера для отправки журнала событий или удаленного сервера для синхронизации точного времени по протоколу NTP. Для задания сетевого адреса на внешнем интерфейсе необходимо в разделе «Внешний интерфейс» в поле «IP адрес» задать новый сетевой адрес, а в поле «Маска подсети» задать маску подсети (см. рисунок 13).
Рисунок 13 – Задание сетевых настроек для внешнего интерфейса
Для задания сетевого адреса на внутреннем интерфейсе необходимо в разделе «Внутренний интерфейс» в поле «IP адрес» задать новый сетевой адрес, а в поле «Маска подсети» задать маску подсети (см. рисунок 14).
Рисунок 14 – Задание сетевых настроек для внутреннего интерфейса
Для задания основного шлюза необходимо в разделе «Основной шлюз» в поле «IP адрес» задать сетевой адрес шлюза по умолчанию (см. рисунок 15). После внесения изменений необходимо сохранить настройки. Для сохранения настроек необходимо нажать на кнопку «Сохранить» (см. рисунок 16).
Рисунок 15 – Задание адреса шлюза по умолчанию
Рисунок 16 – Сохранение сетевых настроек на устройстве Dcrypt Smart SFP
Загрузка объекта ОИК
Для просмотра текущих настроек VPN на устройстве Dcrypt Smart SFP необходимо в главном меню выбрать пункт «VPN – VPN туннели» (см. рисунок 17). В главной таблице отображается информация о ключевой информации и текущих настройках защищенного соединения.
Рисунок 17 – Просмотр информации о защищенном соединении
Для настройки защищенного соединения между устройствами Dcrypt Smart SFP необходимо загрузить на устройство ключевую информацию. Для загрузки ключевой информации необходимо в главном меню выбрать пункт «VPN – Сертификаты и ключи». В главной таблице «Сертификаты и ключевые пары» отображаются текущая ключевая информация: сертификат и ключевая пара (см. рисунок 18).
Рисунок 18 – Просмотр информации об объектах ОИК
Для добавления нового объекта ИОК (сертификата или ключевой пары) необходимо нажать на кнопку «Добавить новый объект ИОК» (см. рисунок 19).
Рисунок 19 – Добавление нового объекта ОИК
В новом окне необходимо нажать на кнопку «Загрузить новый объект ИОК» (см. рисунок 20).
Рисунок 20 – Загрузка нового объекта ОИК на устройство
В проводнике необходимо выбрать файл корневого сертификата или ключевой пары для загрузки на устройство (см. рисунок 21).
Рисунок 21 – Загрузка корневого сертификата на устройство
После выбора файла с корневым сертификатом необходимо нажать на кнопку «ОК» (см. рисунок 22).
Рисунок 22 – Подтверждение загрузки нового объекта ОИК
После загрузки объекта ИОК устройство отобразит подробную информацию, которая включает в себя тип объекта ИОК, издателя, серийный номер владельца, период действия сертификата. Для дальнейшей работы необходимо нажать на кнопку «ОК» (см. рисунок 23).
Рисунок 23 – Просмотр информации по новому объекту ОИК
После добавления нового объекта ОИК необходимо сохранить настройки. Для сохранения настроек необходимо нажать на кнопку «Сохранить» (см. рисунок 24).
Рисунок 24 – Сохранение нового объекта ОИК на устройстве
Механизм добавления ключевой пары ничего не отличается от добавления сертификата, за исключением необходимости ввести пароль от защищенного контейнера (см. рисунок 25).
Рисунок 25 – Загрузка ключевой пары на устройство
После успешного ввода пароля будет отображена подробная информацию по ключевой паре, которая включает в себя тип объекта ИОК, издателя, серийный номер владельца, период действия сертификата. Для дальнейшей работы необходимо нажать на кнопку «ОК» (см. рисунок 26).
Рисунок 26 – Просмотр информации по новому объекту ОИК
После добавления нового объекта ОИК необходимо сохранить настройки. Для сохранения настроек необходимо нажать на кнопку «Сохранить». Для просмотра подробной информации по объекту ОИК необходимо выбрать один из доступных объектов и нажать на кнопку «Просмотр» (см. рисунок 27). В новом окне будет отображена подробная информация по объекту ОИК (см. рисунок 28).
Рисунок 27 – Просмотри информации по объектам ОИК на устройстве Dcrypt Smart SFP
Рисунок 28 – Подробная информация по объекту ОИК
Для удаления объекта ОИК необходимо выбрать нужный объект и нажать на кнопку «Удалить». После удаления объекта ОИК необходимо сохранить изменения. Для сохранения настроек необходимо нажать на кнопку «Сохранить» (см. рисунок 29).
Рисунок 29 – Удаление объекта ОИК
Настройка защищенного соединения
Для настройки защищенного соединения необходимо в главном меню выбрать пункт «VPN – VPN туннели» (см. рисунок 30). В основной таблице отображается информация по текущим настройкам защищенного соединения.
Рисунок 30 – Просмотр текущих настроек для защищенного соединения
Защищенное соединение устанавливается симметричным образом на обоих трансиверах. На первом трансивере необходимо настроить серверный и клиентский туннели и на втором трансивере необходимо настроить серверный и клиентский туннели. Клиентская часть всегда подключается к серверной части. На схеме ниже изображено схема подключения и настройки для обоих трансиверов (см. рисунок 31).
Рисунок 31 – Схема взаимодействия между устройствами Dcrypt Smart SFP
На обоих трансивера необходимо задать сетевые адреса из одной подсети на внешних сетевых интерфейсах. Далее при настройке серверного туннеля необходимо задать порт UDP для подключения в формате «0.0.0.0:port», где значение port может принимать значение из стандартного диапазона сетевых портов. На стороне второго трансивера необходимо также настроить UDP порт для подключения для серверного туннеля. Поры на разных трансиверах для серверных туннелей могут быть одинаковыми. Для настройки клиентского туннеля необходимо задать сетевой адрес другого трансивера и порт для подключения в формате «192.168.1.2:port», где значение port должно совпадать с настройками для серверного туннеля. В поле «Сертификат ЦС» необходимо выбрать один из доступных сертификатов, в поле «Ключевая информация» необходимо выбрать один из доступных ключей как для клиентского туннеля, так и для серверного туннеля. Ключи для серверного и клиентского туннелей могут быть одинаковыми. После задания всех настроек необходимо сохранить изменения. Для сохранения настроек необходимо нажать на кнопку «Сохранить». Обратите внимание, что для установления защищенного соединения между устройствами Dcrypt Smart SFP требуется L2 связность, т.е. доступность на уровне L2 стандартной сетевой модели.
Параметры аутентификации
На устройстве Dcrypt Smart SFP реализованы параметры аутентификации. По умолчанию доступно 10 попыток авторизоваться на устройстве. При превышении лимита происходит автоматическая блокировка механизма авторизации для всех пользователей на 15 минут с фиксацией соответствующего сообщения в журнале событий. При превышении количества ошибочных попыток авторизации в главном окне будет выведено сообщение об ошибке.
Рисунок 32– Сообщение об ошибке при превышении количества неудачных попыток авторизации
Рисунок 33 – Сообщение об ошибке в журнале событий
Журнал событий
Для просмотра текущих настроек журнала событий на устройстве Dcrypt Smart SFP необходимо в главном меню выбрать пункт «Журнал событий – Настройки журналирования». В таблице «Настройка параметров журналирования» отображается информация о текущих настройках удаленного сервера журналирования и возможность просмотра журнала событий (см. рисунок 34).
Рисунок 34 – Просмотр общих настроек журналирования на устройстве
Для просмотра журнала событий VPN необходимо в разделе «Просмотр локальных журналов» в строке «Журнал VPN» нажать на кнопку «Сохранить в файл». Для просмотра журнала событий web интерфейса необходимо в разделе «Просмотр локальных журналов» в строке «Журнал WebUI» нажать на кнопку «Сохранить в файл» (см. рисунок 35). При нажатии на кнопку «Сохранить в файл» будет сохранен файл с текущими логами.
Рисунок 35 – Просмотр локального журнала событий
Для вывод подробных логов VPN, необходимо в разделе «Просмотр локальных журналов» установить флаг «Выводить статистику». С момента установки флага «Выводить статистику» начинают писаться подробные логи, которые доступны при нажатии на кнопку «Сохранить в файл» в строке «Журнал VPN» (см. рисунок 36).
Рисунок 36 – Вывод дополнительной статистики по защищенному соединению
Журнал событий
Журнал событий может отправляться на удаленный сервер по протоколу rsyslog. Для настройки удаленного сервера необходимо в главном меню выбрать пункт «Журнал событий – Настройки журналирования» (см. рисунок 37).
Рисунок 37 – Просмотр настроек для протокола rsyslog
В главной таблице «Настройка параметров журналирования» в разделе «Настройка удаленного сервера журналирования» в поле «Удаленный сервер» необходимо задать сетевой адрес удаленного сервера, в поле «Протокол» необходимо задать протокол и сетевой порт (см. рисунок 38).
Рисунок 38 – Задание сетевых настроек для удаленного сервера
После задания всех настроек необходимо сохранить изменения. Для сохранения изменений необходимо нажать на кнопку «Сохранить» (см. рисунок 39).
Рисунок 39 – Сохранение настроек для протокола rsyslog
Дополнительные возможности
В дополнительном меню администратора доступна возможность изменить пароль, перезапустить VPN, перезагрузить или выключить устройство. Дополнительное меню доступно в правой части web интерфейса через выпадающий список (см. рисунок 40).
Рисунок 40 – Дополнительные настройки на устройстве Dcrypt Smart SFP
Для изменения пароля по умолчанию необходимо в выпадающем меню выбрать пункт «Установить пароль». В новом окне в поле «Пароль» и «Подтвердить пароль» необходимо задать новый пароль и подтвердить его. После задания нового пароля необходимо нажать на кнопку «ОК» (см. рисунок 41).
Рисунок 41 – Изменение пароля по умолчанию
Для перезагрузки VPN соединения необходимо в выпадающем меню выбрать опцию «Перезапустить VPN». Для перезагрузки устройства Dcrypt Smart SFP необходимо в выпадающем меню выбрать опцию «Перезагрузка Dcrypt Smart SFP». Для выключения устройства Dcrypt Smart SFP необходимо в выпадающем меню выбрать опцию «Выключение Dcrypt Smart SFP».