¶ Общее описание
Для построения защищенного соединения необходимо использовать специальный интерфейс - “HCA интерфейс”. Этот интерфейс связан с FPGA и позволяет осуществлять конфигурирование криптографического модуля.
¶ Предварительное конфигурирование
Настройки модуля FPGA находятся в конфигурационном файле “/etc/dmvpnfw/hca.conf”. В конфигурационном файле задается pci адрес устройства, имя интерфейса и MAC адрес сетевого интерфейса. Конфигурационный файл преднастроен на устройстве, при необходимости администратор может изменить имя интерфейса или MAC адрес. После внесения изменения в конфигруационный файл, необходимо перезагрузить устройство.
Diamond VPN-FW Next:~# cat /etc/dmvpnfw/hca.conf
HCA_PCI=5e:00.0
HCA_IFACE=hca0
HCA_MAC=17:34:98:A1:B1:C1
Для проверки, что криптомодуль определился корректно в консоли можно использовать команду “ps -ef | grep hca”.
Diamond VPN-FW Next:~# ps -ef | grep hca
1431 root dmhca-dpdk --pci 5e:00.0 --iface hca0 --mac 17:34:98:A1:B1:C1
¶ Настройка HCA через web интерфейс
Для настройки HCA интерфейса необходимо в главном меню выбрать пункт “Сетевые настройки - Интерфейс HCA”. Для каждого криптомодуля будет доступен один интерфейс HCA. По умолчанию HCA интерфейс находится в состоянияя “Down”. Для перевода в состояние “Up” необходимо выбрать выбрать и нажать на кнопку “Редактировать”.
В новом окне “Настроить HCA интерфейс” в поле “Состояние” необходимо выставить значение “Up”. Для сохранения настроек необходимо нажать на кнопку “Ок” и “Сохранить”.
Для настройки сетевого адреса на HCA интерфейсе необходимо в главном меню выбрать пункт «Сетевые настройки – IP адрес (Стэк ОС) ». В таблице “IP адре” необходимо нажать на кнопку «Добавить…».
В новом окне, в таблице "Настроить ip адрес" в поле "Название интерфейса" необходимо выбрать HCA интерфейс, в поле "IP адрес/маска подсети" необходимо задать сетевой адрес и маску подсети в формате префикса.
Для изменения сетевого адреса на интерфейсе необходимо выбрать его в таблице "IP адрес" и нажать на кнопку "Редактировать". Для удаления сетевого адреса необходимо выбрать его в таблице и нажать на кнопку "Удалить".
Адрес, который задается на интерфейсе HCA используется для установки защищенного соединения в момент согласования ключевой информации и других параметров. При шифровании и передачи полезной нагрузки сетевой адрес HCA интерфейса не используется.
¶ Просмотр информации о сетевых адресах на интерфейсе через консольное подключение
Для просмотра информации о сетевых адресах через консольное подключение необходимо подключиться к устройству по протоколу ssh. Далее необходимо ввести команду ifconfig <название интерфейса> для просмотра информации об интерфейсе
Diamond VPN-FW Next:~# ifconfig hca0
hca0 Link encap:Ethernet HWaddr 8A:7C:D1:59:76:7E
inet addr:192.168.10.1 Bcast:192.168.10.255 Mask:255.255.255.0
inet6 addr: fe80::887c:d1ff:fe59:767e/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:2 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)