¶ Построение защищенного соединения между удаленными офисами
Устройства МКСЗ «Diamond Next» позволяют решать огромный перечень задач, которые связаны с защитой каналов передачи данных, в том числе осуществлять защиту канала передачи данных с использование отечественных алгоритмов. Задачу по защите каналов передачи данных можно рассмотреть с нескольких сторон
¶ Создание VPN-сервиса
Для создания VPN-сервиса необходимо в главном меню выбрать пункт «VPN – VPN-сервис» и нажать на кнопку «Добавить сервис»
В таблице «VPN-сервис» необходимо задать параметры VPN-сервиса в зависимости от режима работы и нажать кнопку «OK». После настройки VPN-сервиса необходимо сохранить изменения и перевести сервис в состояние «Сервис работает».
¶ Настройка VPN сервиса, режим «Сервер»
Параметры, которые необходимо задать для настройки VPN сервиса в режиме «Сервер», представлены в таблице
Таблица 1 – «Параметры настройки VPN-сервиса в режиме «Сервер»»
| Название поля | Описание |
| Основные параметры | |
| Имя сервиса | В поле необходимо ввести название VPN-сервиса. |
| Тип туннельного интерфейса | В поле необходимо выбрать тип туннельного интерфейса. |
| Название интерфейса | В поле необходимо выбрать интерфейс, через который будет работать VPN-сервис. |
| Таймаут для сообщений | В поле необходимо задать время ожидания ответа от сервера (в секундах). |
| Параметры хэндшейка | |
| Режим хэндшейка | В поле необходимо выбрать режим хэндшейка «Сервер». |
| Точки подключения (адрес: порт) | В поле необходимо задать ip-адрес и сетевой порт сервера, к которому будет подключаться клиент и устанавливаться защищенное соединение. Данные необходимо задать в формате: ip-адрес: сетевой порт. Для прослушивания трафика на всех интерфейсах в поле необходимо задать значение 0.0.0.0: сетевой порт. |
| Ключевая информация | В поле необходимо выбрать файл с ключевой информацией, который был загружен на устройство. |
| Максимальное количество клиентов | Поле не заполняется |
| Разрешить подключения с одинаковыми сертификатами | Позволяет установить соединение, если у сервера и клиента одинаковые файлы ключевой пары. |
| Параметры согласования туннеля | |
| Включить механизм heartbeat | В поле необходимо выбрать, будет ли работать механизм контроля за состоянием VPN-туннеля. |
| Количество попыток отправки heartbeat-сообщений до разрыва соединения | Доступно для настройки только при включенном механизме heartbeat.В поле необходимо выбрать максимальное отправки heartbeat-сообщений до разрыва соединения. |
| Интервал между отправкой heartbeat-сообщений клиентом | Доступно для настройки только при включенном механизме heartbeat. В поле необходимо выбрать интервал времени между отправкой heartbeat-сообщений клиентом (в секундах). |
| Интервал ожидания heartbeat-сообщений сервером от клиента | Доступно для настройки только при включенном механизме heartbeat.В поле необходимо выбрать интервал времени ожидания heartbeat-сообщений сервером от клиента (в секундах). |
| Интервал пересогласования сессионного ключа | В поле необходимо выбрать интервал времени для пересогласования сессионного ключа (в секундах). |
| Идентификатор туннеля | В поле необходимо выбрать идентификатор туннеля. Обратите внимание, что идентификатор туннеля должен быть уникальным в рамках всех криптосети. |
| Включить слепление пакетов | Уплотнение сетевого траффика |
| Максимальная длина слепленного пакета | Доступно для настройки только при включенном слеплении пакетов. В поле необходимо задать максимальный размер полезного блока данных. |
| Копировать значение ToS из исходного пакета | В поле необходимо выбрать, будет ли производиться копирование значения ToS из исходного пакета. |
| Установить значение ToS | Доступно для настройки только при отсутствии копирования значения ToS из исходного пакета. В поле необходимо выбрать значение ToS. |
| Уровень инкапсуляции |
В поле необходимо выбрать уровень инкапсуляции для сетевых пакетов, которые были зашифрованы. Инкапсуляция L2 означает, что после шифрования к сетевому пакету будут добавлены заголовки только L2 уровня. Инкапсуляция L4 означает, что после шифрования к сетевому пакету будут добавлены заголовки уровня L2, L3 и L4. Использовать инкапсуляцию L2 целесообразно, когда устройства соединены темной оптикой, коммутируемой сетью или L2VPN. Использовать инкапсуляцию L4 целесообразно, когда устройства имеют связность друг с другом через маршрутизируемую сеть или сеть Интернет. Обратите внимание, что при выборе инкапсуляции L2, сетевой трафик не проходит внутри устройства через ноды маршрутизации и ноды проверки целостности заголовка пакета. Также значительно снижается размер заголовка у сетевого пакета по сравнению с инкапсуляцией L4. Эти моменты могут дать небольшой выигрышь в производительности. |
| Локальный адрес туннеля | В поле необходимо задать ip-адрес и сетевой порт интерфейса, на который будет передаваться полезная нагрузка. Значение передаётся на устройство в режиме сервера. Данные необходимо задать в формате: ip-адрес: сетевой порт. Для автоматического определения локального IP в поле необходимо задать значение 0.0.0.0:1024. |
| Удаленный адрес туннеля | Поле заполняется только при условии, что клиент находится за NAT. В ином случае оно остаётся пустым. В поле необходимо задать ip-адрес и сетевой порт маршрутизатора со стороны клиента, на котором будет происходить трансляция. Данные необходимо задать в формате: ip-адрес: сетевой порт. |
¶ Настройка VPN сервиса, режим «Сервер точка - много точек»
Параметры, которые необходимо задать для настройки VPN сервиса в режиме «Сервер точка - много точек», представлены в таблице.
Таблица 2 – «Параметры настройки VPN-сервиса в режиме «Сервер точка - много точек»»
| Название поля | Описание |
| Основные параметры | |
| Имя сервиса | В поле необходимо ввести название VPN-сервиса. |
| Тип туннельного интерфейса | В поле необходимо выбрать тип туннельного интерфейса |
| Название интерфейса | В поле необходимо выбрать интерфейс, через который будет работать VPN-сервис. |
| Таймаут для сообщений | В поле необходимо задать время ожидания ответа от сервера (в секундах). |
| Параметры хэндшейка | |
| Режим хэндшейка | В поле необходимо выбрать режим хэндшейка «Сервер точка - много точек». |
| Точки подключения (адрес: порт) | В поле необходимо задать ip-адрес и сетевой порт сервера, к которому будет подключаться клиент и устанавливаться защищенное соединение. Данные необходимо задать в формате: ip-адрес: сетевой порт. Для прослушивания трафика на всех интерфейсах в поле необходимо задать значение 0.0.0.0: сетевой порт. |
| Ключевая информация | В поле необходимо выбрать файл с ключевой информацией, который был загружен на устройство. |
| Максимальное количество клиентов | В поле необходимо задать максимальное количество клиентов, которые смогут подключиться к серверу. |
| Разрешить подключения с одинаковыми сертификатами | Позволяет установить соединение, если у сервера и клиента одинаковые файлы ключевой пары. |
| Параметры согласования туннеля | |
| Включить механизм heartbeat | В поле необходимо выбрать, будет ли работать механизм контроля за состоянием VPN-туннеля. |
| Количество попыток отправки heartbeat-сообщений до разрыва соединения | Доступно для настройки только при включенном механизме heartbeat.В поле необходимо выбрать максимальное отправки heartbeat-сообщений до разрыва соединения. |
| Интервал между отправкой heartbeat-сообщений клиентом | Доступно для настройки только при включенном механизме heartbeat.В поле необходимо выбрать интервал времени между отправкой heartbeat-сообщений клиентом (в секундах). |
| Интервал ожидания heartbeat-сообщений сервером от клиента | Доступно для настройки только при включенном механизме heartbeat.В поле необходимо выбрать интервал времени ожидания heartbeat-сообщений сервером от клиента (в секундах). |
| Интервал пересогласования сессионного ключа | В поле необходимо выбрать интервал времени для пересогласования сессионного ключа (в секундах). |
| Идентификатор туннеля | В поле необходимо выбрать идентификатор туннеля. Обратите внимание, что идентификатор туннеля должен быть уникальным в рамках всех криптосети. |
| Включить слепление пакетов | Уплотнение сетевого траффика |
| Максимальная длина слепленного пакета | Доступно для настройки только при включенном слеплении пакетов. В поле необходимо задать максимальный размер полезного блока данных. |
| Копировать значение ToS из исходного пакета | В поле необходимо выбрать, будет ли производиться копирование значения ToS из исходного пакета. |
| Установить значение ToS | Доступно для настройки только при отсутствии копирования значения ToS из исходного пакета.В поле необходимо выбрать значение ToS. |
| Локальный адрес туннеля | В поле необходимо задать ip-адрес и сетевой порт интерфейса, на который будет передаваться полезная нагрузка. Значение передаётся на устройство в режиме сервера. Данные необходимо задать в формате: ip-адрес: сетевой порт. Для автоматического определения локального IP в поле необходимо задать значение 0.0.0.0:1024. |
| Удаленный адрес туннеля | Поле не заполняется. |
¶ Настройка VPN сервиса, режим «Клиент»
Параметры, которые необходимо задать для настройки VPN-сервиса в режиме «Клиент», представлены в таблице.
Таблица 3 – «Параметры настройки VPN сервиса в режиме клиента»
| Название поля | Описание |
| Основные параметры | |
| Имя сервиса | В поле необходимо ввести название VPN-сервиса. |
| Тип туннельного интерфейса | В поле необходимо выбрать тип туннельного интерфейса. |
| Название интерфейса | В поле необходимо выбрать интерфейс, через который будет работать VPN-сервис. |
| Таймаут для сообщений | В поле необходимо задать время ожидания ответа от сервера (в секундах). |
| Параметры хэндшейка | |
| Режим хэндшейка | В поле необходимо выбрать режим хэндшейка «Клиент». |
| Точки подключения (адрес: порт) | В поле необходимо задать ip-адрес и сетевой порт сервера, с которым необходимо установить защищенное соединение. Данные необходимо задать в формате: ip-адрес: сетевой порт. |
| Ключевая информация | В поле необходимо выбрать файл с ключевой информацией, который был загружен на устройство. |
| Интервал между попытками хэндшейка | В поле необходимо выбрать интервал времени между попытками установления соединения (в секундах). |
| Максимальное количество попыток хэндшейка | В поле необходимо выбрать максимальное количество попыток установления соединения. При значении «0» количество попыток неограниченно. |
| Параметры согласования туннеля | |
| Локальный адрес туннеля | В поле необходимо задать ip-адрес и сетевой порт интерфейса, на который будет передаваться полезная нагрузка. Значение передаётся на устройство в режиме сервера.Данные необходимо задать в формате: ip-адрес: сетевой порт. Для автоматического определения локального IP в поле необходимо задать значение 0.0.0.0:1024. |
| Удаленный адрес туннеля | Поле заполняется только при условии, что сервер находится за NAT. В ином случае оно остаётся пустым. В поле необходимо задать ip-адрес и сетевой порт маршрутизатора со стороны сервера, на котором будет происходить трансляция. Данные необходимо задать в формате: ip-адрес: сетевой порт. |
¶ Управление VPN сервисом
Для запуска VPN сервиса необходимо в таблице «VPN-сервисы» выбрать сервис и нажать на кнопку «Запустить». Состояние сервиса измениться на «Сервис работает». Для сохранения настроек необходимо нажать на кнопку «Сохранить».
Для удаления VPN сервиса необходимо в таблице «VPN-сервисы» выбрать сервис и нажать на кнопку «Остановить». Состояние сервиса измениться на «Сервис остановлен». После остановки VPN сервиса необходимо выбрать его и нажать на кнопку «Удалить». Для сохранения настроек необходимо нажать на кнопку «Сохранить».
Для редактирования VPN сервиса необходимо в таблице «VPN-сервисы» выбрать сервис и нажать на кнопку «Остановить». Состояние сервиса изменится на «Сервис остановлен». После остановки VPN сервиса необходимо выбрать его и нажать на кнопку «Редактировать». В таблице «Создание VPN туннеля» необходимо внести изменения в настройки VPN сервиса и нажать на кнопку «ОК». Для сохранения настроек необходимо нажать на кнопку «Сохранить».
¶ Просмотр информации о VPN сервисе
Для просмотра информации о VPN сервисе необходимо в главном меню выбрать пункт «VPN – VPN-сервисы». В таблице «VPN-сервисы» (см. таблицу 4) представлена информацию о текущих VPN сервисах. Для каждого сервиса отображается режим работы, название сервиса, название виртуального интерфейса, ip-адрес и состояние сервиса.
Таблица 4 - «Информация о VPN-сервисах»
| Название поля | Описание |
| Имя сервиса | Название может описывать объект, с которым связан данный сервис. Поле носит информационный характер. |
| Режим хэндшейка | Режим, в котором работает сервис. Сервис может работать в режиме сервера или клиента. |
| Название интерфейса | Название сетевого интерфейса, через который будет работать VPN-сервис. |
| Тип туннельного интерфейса | Тип сетевого интерфейса, через который будет работать VPN-сервис. |
| Точки подключения | IP-адрес и сетевой порт сервера, с которым будет установлено защищенное соединение. |
| Инкапсуляция | Уровень инкапсуляции, на котором будет работать VPN-сервис. |
| Состояние сервиса | Сервис может находится в двух состояниях: сервис работает и сервис остановлен. |
Для просмотра событий, связанных с VPN сервисами, необходимо в главном меню выбрать пункт «Журнал событий – Журнал VPN». В таблице «Записи в журнале» представлены записи о последних событиях.
