¶ Настройка подключения через консольный кабель
Для первоначальной настройки устройства СКЗИ «Dcrypt XG» необходимо подключить устройство к электрической сети с помощью кабеля питания и перевести тумблер в положение «включено». некоторые модели могут не иметь тумблеров и включаться автоматически при подключении кабеля питания.
После включения устройства необходимо подключиться с помощью консольного кабеля к консольному интерфейсу и задать параметры подключения (см. таблицу- 1).
Таблица 1 Параметры подключения по консоли.
| Параметр | Значение |
| Скорость подключения, бит/сек | 115200 |
| Биты данных | 8 |
| Чётность | Нет |
| Стоповые биты | 1 |
| Управление потоком | Нет |
Для подключения через консольный кабель можно использовать любую утилиту, которая поддерживает возможность подключаться через последовательный порт, например, «Putty» или альтернативные программы или утилиты. В настройках утилиты необходимо задать параметры и выбрать последовательный порт, который был определен операционной системой.
После подключения необходимо авторизоваться на устройствe с параметрами: пользователь – «root», пароль по умолчанию – «Diamond1».
¶ Коммутация интерфейса управления
На устройстве СКЗИ «Dcrypt XG» нет выделенного интерфейса управления. Можно самостоятельно выбрать один из интерфейсов (медный или оптический) и задать для него требуемые настройки.
¶ Организация управления: разделение control plane (ОС) и data plane (VPP)
На устройстве СКЗИ «Dcrypt XG» условно можно выделить уровень “control plane” и уровень обработки данных сетевого трафика “data plane”. Интерфейс управления (менеджмент интерфейс) можно терминировать на один из вышеуказанных уровней.
Менеджмент интерфейс терминируется на уровне управления “control plane”:
- сетевой интерфейс не связан с уровнем обработки данных;
- правила фильтрации не действуют на сетевой трафик менеджмент интерфейса;
- механизм детектирования сетевых атак не действует на сетевой трафик менеджмент интерфейса.
Менеждмент интерфейс терминируется на уровне обработки данных “data-plane”:
- сетевой интерфейс связан с уровне обработки данных;
- правила фильтрации могут обрабатывать сетевой трафик менеджмент интерфейса;
- механизм детектирования сетевых атак может обрабатывать сетевой трафик менеджмент интерфейса;
Далее в рамках этого раздела описан вариант с настройкой менеджмент интерфейса на уровне обработки данных “data-plane”. Дополнительная информаци по настройке менеджмент интерфейса на уровне "control plane" доступна в разделе 1.3.3 Настройка_менеджмент_интерфейса_на_уровне_управления_control_plane.
¶ Настройка интерфейса управления
На устройстве СКЗИ «Dcrypt XG» можно выделить два уровня: уровень управления «control plane» и уровень обработки сетевого трафика «data plane». Конфигурация устройства осуществляется через «уровень управления». Для того, чтобы появилась возможность подключиться к устройству по протоколу ssh или https необходимо, чтобы сетевой интерфейс был связан с уровне управления устройства.
После подключения к устройству через консольный кабель, для просмотра доступных интерфейсов необходимо выполнить команду «vppctl sh hardware-interface link».
# vppctl show hardware-interfaces link
Name SW Idx SW State HW Idx Link Link speed Class Address Bond
GigabitEthernet1/0/0 1 down 1 down unknown Ethernet 00:90:0b:6c:04:ed ----
GigabitEthernet2/0/0 2 down 2 down unknown Ethernet 00:90:0b:6c:04:ee ----
GigabitEthernet3/0/0 3 down 3 down unknown Ethernet 00:90:0b:6c:04:ef ----
GigabitEthernet6/0/0 4 down 4 down unknown Ethernet 00:90:0b:6c:04:f0 ----
GigabitEthernet8/0/0 5 down 5 down unknown Ethernet 00:90:0b:6c:04:f1 ----
#
По умолчанию все сетевые интерфейсы на устройстве находятся в состоянии “DOWN”. Необходимо перевести нужный интерфейс (-ы) в состояние “UP” с помощью команды “vppctl set interface state <interface_name> up". Например,
# vppctl set interface state GigabitEthernet1/0/0 up
# vppctl set interface state GigabitEthernet2/0/0 up
# vppctl set interface state GigabitEthernet3/0/0 up
# vppctl set interface state GigabitEthernet6/0/0 up
#
# vppctl show interface
Name Idx State MTU (L3/IP4/IP6/MPLS) Counter Count
GigabitEthernet1/0/0 1 up 9000/0/0/0
GigabitEthernet2/0/0 2 up 9000/0/0/0
GigabitEthernet3/0/0 3 up 9000/0/0/0
GigabitEthernet6/0/0 4 up 9000/0/0/0
local0 0 down 0/0/0/0
#
После того, как интерфейсы переведены в состояние “UP”, необходимо еще раз выполнить команду “vppctl show hardware-interfaces link” для определения интерфейса, к которому подключен кабель. Для активного интерфейса, который подключен к устройству, отобразится скорость. Это именно тот интерфейс, который мы далее будем использовать как интерфейс управления.
# vppctl show hardware-interfaces link
Name SW Idx SW State HW Idx Link Link speed Class Address Bond
GigabitEthernet1/0/0 1 up 1 up 1 Gbps Ethernet 00:90:0b:6c:04:ed ----
GigabitEthernet2/0/0 2 down 2 down unknown Ethernet 00:90:0b:6c:04:ee ----
GigabitEthernet3/0/0 3 down 3 down unknown Ethernet 00:90:0b:6c:04:ef ----
GigabitEthernet6/0/0 4 down 4 down unknown Ethernet 00:90:0b:6c:04:f0 ----
GigabitEthernet8/0/0 5 down 5 down unknown Ethernet 00:90:0b:6c:04:f1 ----
#
Далее необходимо перевести интерфейс управления в состояние “DOWN” с помощью команды "vppctl set interface state GigabitEthernet1/0/0 down" и сделать связку физического интерфейса с уровне управления устройства. Для этого необходимо выполнить команду “vppctl lcp create GigabitEthernet1/0/0 host-if eth1”.
После необходимо перевести заданный интерфейс в состояние “UP” c помощью команды "vppctl set interface state GigabitEthernet1/0/0 up" и задать сетевой адрес с помощью команды “vppctl set interface ip address GigabitEthernet1/0/0 192.168.10.1/24”. Результаты выполнения команд представлен ниже:
# vppctl set interface state GigabitEthernet1/0/0 down <-- Перевели интерфейс в состояние DOWN
# vppctl lcp create GigabitEthernet1/0/0 host-if mgmt <-- Связали интерфейс GigabitEthernet1/0/0 с уровнем управления
# vppctl set interface state GigabitEthernet1/0/0 up <-- Перевели интерфейс в состояние UP
# vppctl set interface ip address GigabitEthernet1/0/0 192.168.10.1/24 <-- Задали сетевой адрес на интерфейсе GigabitEthernet1/0/0
#
# ifconfig mgmt
mgmt Link encap:Ethernet HWaddr 00:90:0B:99:F3:0B
inet addr:192.168.10.1 Bcast:0.0.0.0 Mask:255.255.255.0
inet6 addr: fe80::290:bff:fe99:f30b/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:9000 Metric:1
RX packets:29 errors:0 dropped:0 overruns:0 frame:0
TX packets:28 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:4038 (3.9 KiB) TX bytes:3022 (2.9 KiB)
После выполнения всех команд появится доступ к web интерфейсу устройства, а также доступ по протоколу ssh. Настройки, которые были сделаны через консольное подключение будут удалены после перезагрузки устройства. Для того, чтобы настройки сохранились в конфигурационные файлы и не удалялись после перезагрузки, необходимо подключиться к устройству через web интерфейс.
В главном меню выбрать пункт “Сетевые настройки - Интерфейсы Ethernet” и перевести интерфейс “GigabitEthernet1/0/0” в состояние “UP” и задать в поле “Номер VRF” значение 100. Далее в разделе “Интерфейс LCP” необходимо создать LCP связку для интерфейса “GigabitEthernet1/0/0”, в разделе “IP адрес” задать сетевой адрес для интерфейса “GigabitEthernet1/0/0” и в разделе “Статические маршруты” необходимо добавить маршрут для подсети управления.
Обратите внимание, что кнопку сохранить необходимо нажать только после задания всех изменения для интерфейса “GigabitEthernet1/0/0”. После задания всех настроек необходимо перезагрузить устройство и проверить доступ к web интерфейсу.