Выбери формат для чтения
Загружаем конспект в формате doc
Это займет всего пару минут! А пока ты можешь прочитать работу в формате Word 👇
Воронежский институт МВД России
Кафедра информационной безопасности
УТВЕРЖДАЮ
Заместитель начальника кафедры
информационной безопасности
полковник полиции
А.В. Мельников
«___» ___________ 2018 г.
Тезисы лекции
по программе повышения квалификации
сотрудников подразделений территориальных органов МВД России по теме:
«ПАК ViPNet Coordinator HW1000/2000,
правила эксплуатации и обработки информации»
(c использованием системы дистанционных образовательных технологий)
Блок дистанционного обучения в системе MOODLE
Тема №2. «Защита каналов связи ИМТС МВД России с помощью программно-аппаратной технологии ViPNet»
Лекция №8. «Создание, модификация и удаление телекоммуникационных узлов
в сети ViPNet»
Подготовил:
старший преподаватель кафедры
информационной безопасности
подполковник полиции
С.В. Зарубин
Обсуждены и одобрены
на заседании
методической секции кафедры
информационной безопасности
протокол № __ от _______ 2018 г.
Обсуждены и одобрены
на заседании кафедры
информационной безопасности
протокол № __ от _______ 2018 г.
Воронеж 2018
1. Особенности взаимодействия ЦУС и УКЦ.
Для обеспечения работоспособности сети, созданной с помощью технологии ViPNet необходимо:
1. Создать (изменить) её структуру в ЦУС и скопировать в УКЦ данные, необходимые для генерации ключевой информации.
2. Сгенерировать в УКЦ ключевую информацию.
3. Предоставить необходимые наборы справочной и ключевой информации абонентам вновь созданных абонентских пунктов или разослать их на уже существующие абонент¬ские пункты.
Для того чтобы один пользователь с одного АП мог обмениваться защищённой информа-цией с другим пользователем другого АП, каждому пользователю необходимо получить:
1. Инсталляционный пакет той или иной программы.
2. Адресную информацию для АП (справочники), предоставляемую ЦУС.
3. Ключевую и парольную информацию для АП, предоставляемую УКЦ.
Адресная и ключевая информация для упрощения работы с ней предоставляется в виде единого файла-дистрибутива (см. стр. 32).
В процессе изменения структуры сети ЦУС автоматически доставляет и устанавливает обновленную адресную и ключевую информацию, не требуя от пользователя каких либо допол-нительных действий.
Рассмотрим подробнее порядок работы и установки взаимодействия между ЦУС и УКЦ для различных случаев: при первоначальном разворачивании сети, при переконфигурации сети и при разбиении сети на подсети.
1. Первоначальное разворачивание сети ViPNet
Инсталляция программного обеспечения и развертывание сети ViPNet должны осуществляться в следующей последовательности:
a) Инсталляция программного обеспечения ЦУСа.
b) Генерация сетевой структуры с помощью подсистемы адресной администра¬ции ЦУСа.
c) Генерация прикладной администрации.
d) Формирование файлов связей для УКЦ.
e) Инсталляция программного обеспечения УКЦ.
f) Генерация ключевой информации и дистрибутивов.
g) Инсталляция программного обеспечения ViPNet Координатора.
h) Инсталляция программного обеспечения на АП.
2. Переконфигурация сети ViPNet
1. Внести необходимые изменения в адресную или прикладную администрацию сети и убе¬диться в их правильности.
Во избежание конфликтов при необходимости удаления АП или СМ из текущей группы предварительно следует удалить все записи о включении пользователя в ТК, зарегист- рированный на этой группе, на удаляемых АП или СМ.
2. Если нужно организовать межсетевое взаимодействие с другой сетью, выполните действия в соответствие с руководством по установке межсетевого взаимодействия.
3. Убедитесь, что были внесены изменения, соответствующие поставленной цели, то есть во всех новых коллективах на всех АП зарегистрированы пользователи, установлены необхо-димые связи и т.д.
4. В ЦУСе сформируйте справочники, маршрутные таблицы и файлы связей для УКЦ. После этого ЦУС произведет поиск и запись в соответствующие подкаталоги каталога \NEW и в каталог обмена с УКЦ всех новых файлов.
5. В УКЦ сформируйте всю необходимую новую ключевую информацию. Эта информация будет помещена в каталог обмена с УКЦ. Если были заведены новые сетевые узлы, то будут сформированы файлы-дистрибутивы для пользователей на этих узлах. Эти дистрибутивы, а также пароли надо передать соответствующим пользователям.
6. Из ЦУСа разослать все справочники и маршрутные таблицы для существующих АП и СМ. Для новых АП и СМ отправку выполните после их установки.
7. Из ЦУСа разослать всю ключевую информацию для существующих пользователей АП и СМ. Для новых АП и СМ отправку выполните после их установки.
8. Для межсетевого взаимодействия подготовьте новый Экспорт в другие ЦУСы.
9. Если из УКЦ поступят сертификаты ЭЦП абонентов, то ЦУС отправит их автоматически на нужный АП.
10. Проконтролируйте процесс получения новых файлов соответствующими адресатами и от-правьте подтверждения необходимости обновления, если это потребуется.
2. Разбиение сети ViPNet на самостоятельные подсети.
Если возникла необходимость разбить существующую сеть на отдельные сети, взаимодейст-вующие на межсетевом уровне, то можно проделать следующую процедуру:
a) Приобрести у ОАО "ИнфоТеКС" необходимое количество (N) ЦУСов на тре-буемое число АП и СМ, то есть получить N файлов INFOTECS.REG и INFOTECS.RE.
b) Создать N копий своего ЦУСа.
c) В каждой из копий войти в программу ЦУС и удалить ненужные для данной сети (не принадлежащие ей) СМ, АП, СГ, ТК и пользователей.
d) Заменить в каждой из копий ЦУСа файлы INFOTECS.REG и INFOTECS.RE на аналогичные файлы для соответствующей сети.
e) Запустить программу ССС.ЕХЕ и ответить “ДА” на вопросы об изменении номера сети.
f) Во всех программах ЦУС сформировать экспорт.
g) В каталоге \IMPORT каждого ЦУСа поместить экспорт от всех остальных ЦУСов.
h) В каждой программе ЦУСа установить необходимые связи и убедиться в пра-вильности конфигурации сети. Создать архив текущей базы данных.
После этого программы готовы к самостоятельному использованию. К инсталляционному комплекту каждого ЦУСа добавьте из каталога YARC последний архив, который должен быть помещен в аналогичный каталог после инсталляции программы ЦУСа на месте. Этот архив по¬сле запуска программы ЦУС должен быть восстановлен.
i) В УКЦ нужно сформировать и обменяться межсетевыми ключами.
j) В программах ЦУС и УКЦ в каждой из сетей необходимо всем своим АП, СМ и пользователям обновить адресные справочники, маршрутные таблицы и ключевую информацию.
2.3.2. Уровень полномочий
Полномочия пользователя ViPNet - это правомерность действий пользователя сетевого узла (АП или СМ) по изменению настроек в различных приложениях ПО ViPNet (совокупность настроек определяет функциональность ПО). Допустимость действий пользователя определяет¬ся уровнем полномочий. Уровень полномочий для каждого узла ViPNet задается программой ЦУС (Рис 3). Существует четыре уровня полномочий, три из которых определяются цифрой, а именно: уровень 0 -минимальные полномочия, уровень 1 - средние полномочия и уровень 2 - максимальные полномочия. Четвертый уровень называется уровнем специальных полномо¬чий и имеет несколько значений, каждое из которых определяется специальным символом (цифра или буква).
Полномочия максимального уровня не имеют ограничений по использованию функций ПО пользователем. Полномочия, определяемые другими уровнями, ограничивают действия пользователей по функциям ПО. Все ограничения, накладываемые полномочиями среднего, минимального и специального уровней, снимаются при вводе пароля Администратора сетевых узлов.
Программа ЦУС задает полномочия пользователя, работающего на:
• АП и СМ, зарегистрированных в прикладной задаче Защита трафика. Уровень полномочий, заданный для этих сетевых узлов, будет опреде¬лять функциональность ПО ViPNet [Клиент или Координатор] [Мони¬тор] и ViPNet [MFTP].
• АП, зарегистрированных в прикладной задаче Деловая почта. Уровень полномочий, заданный для этих сетевых узлов, будет определять функ¬циональность ПО ViPNet [Клиент] [Деловая почта].
• АП, зарегистрированные в прикладной задаче Криптосервис. Уровень полномочий, заданный для этих сетевых узлов, будет определять функ¬циональность ПО ViPNet [Криптосервис].
3. Прикладные задачи и порядок регистрации в них АП и СМ.
Прикладная задача (ПЗ) - это совокупность программных средств, предназначенных для решения целевых и служебных задач сети.
В настоящее время поддерживаются следующие ПЗ: “Деловая почта”, “Диспетчер”, "Центр управления сетью", “Ключевой центр”, “Защита трафика”, “Сервер IP-адресов”, “Центр регистрации”, “Секретный диск” и др.
Каждой ПЗ присваивается уникальный 4-символьный шестнадцатеричный идентифика¬тор, который включается в транспортные конверты, генерируемые в рамках этих задач. По идентификатору ПЗ прикладная программа понимает, что конверт адресован именно ей.
ВНИМАНИЕ! Для того чтобы обеспечить при первом старте минимум необходимых ручных настроек на абонентских пунктах и координаторах (настройка различных IP-адресов, типов Firewall и т.д.) следует произвести все необходимые настройки в программе ЦУС для СМ и при необходимости для АП.
Регистрация АП в конкретных прикладных задачах является обязательной процедурой в процессе генерации сети. Эта процедура определяет, какие прикладные программы могут быть установлены на том или ином сетевом узле. Если СМ должен выполнять другие функции (Сер¬вер IP-адресов и др.) или на нем должен быть установлен Драйвер сетевой защиты, его также необходимо зарегистрировать в соответствующей задаче.
Если в настройках по умолчанию задана регистрация в каких-либо задачах, то при созда¬нии нового АП или СМ такая регистрация будет произведена автоматически.
Возможность регистрации нужного числа узлов в конкретных задачах определяется ли¬цензионным файлом, предоставляемым ОАО Инфотекс при поставке ЦУСа.
№
п\п
Название ПЗ
Иденти
фикатор
ПЗ
Тип
СУ
Примечание
1.
Деловая почта
0000 и 0015
только
АП
Для каждого из зарегистрированных СУ можно задать уровень полномочий: минимальный, средний, максимальный или специальный
2.
Диспетчер
0005 и 0016)
только
АП
3.
Центр управления сетью
0004
только
АП
Только один АП в локальной сети может быть зарегистрирован в этой прикладной задаче. Для осуществления функций управления сетью и обеспечения взаимодействия ЦУСов разных сетей не забудьте зарегистрировать какой-либо АП в этой задаче.
4.
Ключевой
центр)
0008
только
АП
Только один АП в локальной сети может быть зарегистрирован в этой прикладной задаче. Для осуществления функций управления сетью и обеспечения взаимодействия ключевых центров разных сетей не забудьте зарегистрировать какой-либо АП в этой задаче.
5.
Защита трафика
0017
АП
или
СМ
При регистрации СУ в задаче защиты IP-трафика есть возможность ввести несколько IP-адресов для каждого из зарегистрированных СУ, а также настроить дополнительные специальные параметры, позволяющие автоматически настроить узлы для их работы в сети. Кроме того, можно задать для каждого из зарегистрированных СУ уровень полномочий при защите IP- трафика: минимальный, средний, максимальный или специальный.
6.
Сервер IP- адресов
0018
только
СМ
Для осуществления функций защиты IP-трафика не забудьте зарегистрировать СМ в этой задаче. Серверов IP-адресов в одной сети может быть несколько. Задание IP-адресов и специальных параметров в этой задаче осуществляются так же как в задаче Защита трафика
Настройки полномочий для СМ (координатора) производятся в задаче “Защита трафика”, предварительно зарегистрировав его в этой задаче.
7.
Сервер Открытого Интернета
001С
только
СМ
В этой задаче может быть зарегистрирован только СМ, зарегистрированный в задаче Сервер ЕР-адресов.
8.
Секретный
диск
001Е
АП
или
СМ
На СУ, зарегистрированных в этой задаче, будет работать программа SafeDisk, интегрированная с ViPNet.
9.
Центр регистрации
001D
только
АП
На АП, зарегистрированных в этой задаче, будет работать программа ViPNet Центр регистрации.
10.
КриптоСервис
0020
АП
или
СМ
На СУ, зарегистрированных в этой задаче, будет работать программа ViPNet КриптоСервис. Можно задать для каждого из зарегистрированных СУ уровень полномочий: минимальный, средний, максимальный или специальный.
На СУ, зарегистрированных в этой задаче, будет работать программа ViPNet CryptoExtension.
11.
ViPNet SDK
0029
АП
или
СМ
На СУ, зарегистрированных в этой задаче, можно будет работать с набором криптофункций на базе криптопровайдера Домен К.
12.
Кластер Linux
0025
АП
или
СМ
На СУ, зарегистрированных в этой задаче, будет работать функционал резервирования серверов Linux.
13.
Solaris
0026
АП
или
СМ
На СУ, зарегистрированных в этой задаче, будут запускаться программы ViPNet под ОС Solaris.
14.
Кластер
Solaris)
0028
АП
или
СМ
На СУ, зарегистрированных в этой задаче, будет работать функционал резервирования серверов Solaris. Также эти СУ должны быть зарегистрированы в задаче “Solaris64.
15.
Терминал Навигатор
002Е
только
АП
На АП (только для Windows), зарегистрированном в этой задаче, осуществляется защита трафика. Если АП зарегистрирован в этой задаче, то регистрация его в других задачах не требуется.
Задание IP-адресов и специальных параметров в этой задаче осуществляются так же как в задаче Защита трафика
16.
Терминал
Спектр
002F
только
АП
На АП (только для Linux), зарегистрированном в этой задаче, осуществляется защита трафика. Если АП зарегистрирован в этой задаче, то регистрация его в других задачах не требуется.
Задание IP-адресов и специальных параметров в этой задаче осуществляются так же как в задаче Защита трафика
17.
Терминал
Ареал-Сервис
0030
только
АП
На АП (только для Linux), зарегистрированном в этой задаче, осуществляется защита трафика. Если АП зарегистрирован в этой задаче, то регистрация его в других задачах не требуется.
Задание IP-адресов и специальных параметров в этой задаче осуществляются так же как в задаче Защита трафика
Для расширения функциональных характеристик ViPNet сети реализована возможность взаимодействия между собой абонентских пунктов с установленными на них разными приклад¬ными программами (Деловая почта и Диспетчер). При этом следует иметь в виду следующее ограничение:
Прикладная программа "Диспетчер" может принимать почту от прикладной программы "Деловая почта" и наоборот, только, если АП с "Диспетчером" не зарегистрирован также и в задаче "Деловая почта" и наоборот. Если какие-то АП зарегистрированы в обеих задачах, то ка¬ждая из задач на этих АП может взаимодействовать только с одноименной задачей. С версией 3.0. отпадёт необходимость регистрации ПЗ Диспетчер, так как в версии ЦУСа 3.0. эта про¬грамма не используется.
СМ регистрируются только в прикладных задачах Защита трафика, Сервер IP-адресов, Секретный диск и КриптоСервис. АП могут быть зарегистрированы в любой задаче, кроме при¬кладной задачи Сервер IP-адресов.
3.1. Рекомендации по регистрации СМ в различных прикладных задачах в за-висимости от функциональности, которую должен обеспечивать ViPNet Ко-ординатор.
В зависимости от конфигурации VPN и поставленных задач, возможны различные вариан¬ты установки ViPNet Координатор. Возможные конфигурации VPN приведены ниже:
Вариант 1 - VPN строится в рамках одной локальной сети.
Вариант 2 - VPN должна объединить несколько локальных сетей с защищенными компь¬ютерами (фрагментов локальной сети) и удаленные защищенные компьютеры. Все компьютеры имеют реальные IP-адреса, доступные с любого объекта VPN.
Вариант 3 - VPN должна объединить несколько локальных сетей (фрагментов локальной сети), а также удаленные защищенные компьютеры. Компьютеры локальной сети имеют внут¬ренние или реальные адреса. При этом ставится задачи:
■ Обеспечить работу объектов VPN локальной сети (фрагмента локальной сети) от имени одного адреса.
■ Обеспечить работу объектов VPN локальной сети через существующий в данной сети МЭ другого производите¬ля.
Вариант 4 - VPN должна объединить несколько локальных сетей (фрагментов локальной сети), имеющих защищенные и незащищенные компьютеры, и удаленные защищенные компь¬ютеры. Компьютеры локальной сети имеют внутренние или реальные адреса. При этом ставится задача:
• Обеспечить работу объектов VPN локальной сети (фрагмента локальной сети) от имени одного адреса, а для отдельных незащищенных компьютеров (без ПО ViPNet) обеспечить при этом туннелирование открытых пакетов в защищенное соединение.
• Обеспечить работу всех объектов VPN локальной сети и туннелирование трафика отдельных незащищенных компь¬ютеров через существующий в данной сети МЭ другого производителя.
Вариант 5 - VPN должна объединить несколько локальных сетей (фрагментов локальной сети) и удаленные защищенные компьютеры, при этом защита внутри локальной сети (фраг¬мента локальной сети) не требуется.
Вариант 6 - VPN должна обеспечить безопасное для локальной сети подключение от-дельных ее компьютеров к открытым ресурсам Интернет.
В зависимости от описанных выше вариантов построения VPN, варианты установки ПО ViPNet Координатор сводятся к следующей таблице:
Вариант
1
2
3
4
5
6
Сервер - маршрутизатор
*
*
*
*
*
*
Сервер IP-адресов
*
*
*
*
*
Сервер ViPNet Firewall
*
*
♦
Сервер ViPNet Firewall с туннелем
*
*
Сервер Открытого Интернета
*
Как уже упоминалось выше, функциональность ViPNet Координатор определяется ЦУС путем регистрации координатора в соответствующей задаче. Распишем, в каких задачах в ЦУСе необходимо зарегистрировать координатор (СМ) для получения соответствующей функцио¬нальности ПО ViPNet Координатор для вариантов из таблицы выше:
=> При установке ViPNet Координатор в варианте 1 (только Сервер- маршрутизатор) в ЦУСе Сервер-маршрутизатор регистрируется только в задаче Защита трафика.
=> При установке ViPNet Координатор в варианте 2 и 3 в ЦУСе Сервер- маршрутизатор регистрируется в задаче Защита трафика и Сервер IP-адресов.
=> При установке ViPNet Координатор в вариантах 4 и 5 (Сервер-маршрутизатор плюс Сервер IP-адресов плюс Сервер ViPNet Firewall с туннелем), в ЦУСе Сер¬вер - маршрутизатор регистрируется в задачах Защита трафика, Сервер IP- адресов, а также задается количество туннелируемых адресов для данного серве- ра.
=> При установке ViPNet Координатор в варианте 6 (Сервер Открытого Интернета) в ЦУСе Сервер - маршрутизатор регистрируется в задачах Защита трафика, Сер¬вер IP-адресов и Сервер Открытого Интернета.
Настройки полномочий для координатора производятся в задаче “Защита трафика”, пред¬варительно зарегистрировав его в этой задаче.
3.2. Рекомендации по регистрации СУ в различных прикладных задачах в за-висимости от функциональности, которую должно обеспечивать ПО ViPNet.
=> Для того чтобы на АП работало ПО ViPNet Клиент в полном объеме (т.е. работали модули Монитор и Деловая почта) необходимо этот АП зарегистрировать в сле¬дующих ПЗ: Защита трафика, Деловая почта.
=> Для того чтобы на АП работало ПО ViPNet Администратор в полном объеме необ¬ходимо этот АП зарегистрировать в следующих ПЗ: Защита трафика, Деловая почта, Ключевой центр, ЦУС.
=> Для того чтобы на АП работала программа ViPNet SafeDisk необходимо зарегист¬рировать этот АП в задаче Секретный диск. СМ также может быть зарегистриро¬ван в этой задаче.
=> Для того чтобы на АП работала программа ViPNet Пункт Регистрации в полном объеме необходимо зарегистрировать этот АП в задачах для ПО ViPNet Клиент и в задаче Центр регистрации.
=> Для того чтобы на АП работала программа ViPNet КриптоСервис необходимо за¬регистрировать этот АП в задаче КриптоСервис.
=> Для того чтобы на АП работала программа ViPNet CryptoExtension, необходимо зарегистрировать этот АП в задаче КриптоСервис.
=> Для того чтобы на СУ узле работал функционал резервирования серверов необхо¬димо зарегистрировать этот СУ в задаче Кластер Linux для ViPNet Linux или в задачах Кластер Solaris и Solaris для ViPNet Solaris.
4. Порядок регистрации АП в ПЗ.
При выполнении команды меню Индивидуальная регистрация АП в ПЗ появится диало¬говое окно со списком АП, зарегистрированных в различных прикладных задачах.
Наличие регистрации в какой-либо задаче отображается различными буквами в соответст-вующей колонке.
Для регистрации какого-либо АП, нужно выбрать его и нажать кнопку Регистрация. Поя-вится окно со списком прикладных задач, лицензированных для данного ЦУСа.
Если нужно произвести дополнительные настройки СУ, то воспользуйтесь групповой ре-гистрацией СУ в ПЗ. Для этого в ЦУСе выберите команду Групповая регистрация СУ в ПЗ.
При выполнении команды меню Групповая регистрация СУ в ПЗ появится диалоговое окно, в котором в колонке Прикладная задача выводится список ПЗ, на которые есть разрешение в лицензионном файле; в колонке Использовано указано количество использован¬ных лицензий для выбранной ПЗ, в колонке Лицензия - разрешенное количество лицензий для выбранной ПЗ.
Выберите прикладную задачу, в которой хотите зарегистрировать СУ, и нажмите кнопку Регистрация. Затем, в появившемся списке СУ, выбираем нужные узлы.
Для СУ, зарегистрированных в задачах “Защита трафика”, "Деловая почта", "КриптоСер- вис", можно произвести настройки полномочий пользователя (о чем и говорилось выше), а для СУ, зарегистрированных в задачах “Защита трафика”, "Сервер IP-адресов", "Терминал Навига-тор", "Терминал Спектр", "Терминал Ареал-Сервис" можно произвести дополнительные на-стройки различных параметров (IP-адресов и др.). Рассмотрим такие настройки на примере ре-гистрации СМ в задаче “Сервер IP-адресов”.
В этой задаче могут быть зарегистрированы только СМ. Для регистрации сервера необходимо нажать кнопку Добавить и из предложенного списка СМ выбрать нужные, затем нажать кнопку Принять.
Если сервер будет использоваться как Сервер открытого Интернета, то следует нажать кнопку Сервер ОИ, при этом в колонке И появится
Если сервер должен обеспечивать туннелирование трафика открытых компьютеров ло-кальной сети, то следует нажать кнопку Туннель и задать число адресов, которое может тунне-лироваться данным ViPNet-координатором.
Нажав кнопку IP-Адреса, можно для конкретного сервера произвести различные настрой¬ки (задать один или несколько IP-адресов, и т.д.).
Описание структуры строк, используемых для настройки
Строки, определяющие адреса и порты UDP:
1. АДРЕС
Например, 195.210.139.67
Такая строка означает реальный IP-адрес узла.
2. АДРЕС:ПОРТ
Например, 195.210.139.67:4321 или 195.210.139.67:OUT
На первом месте задается реальный адрес, и дальше без пробела с двоеточием -"OUT" или кон-кретный порт. OUT - означает порт доступа, по умолчанию — 55777.
Строка задается в дополнение к строкам типа 0 и определяет IP-адрес и порт доступа к данному узлу через внешний Firewall (ViPNet-координатор или со статическим NAT), а также задает сер-вер IP-адресов (определяется по АДРЕС), если требуется выбрать иной сервер, чем задан по умолчанию, и этот АДРЕС совпадет с одним из реальных адресов некоторого ViPNet- координатора.
3. Е:АДРЕС 1-АДРЕС2 :ПОРТ
Например, Е:195.210.139.44-195.210.135.56: OUT
На первом месте после Е: указан реальный IP-адрес данного узла, далее без пробелов дефис (-), далее без пробелов внешний IP-адрес с портом UDP. Имеет смысл только для координаторов, один из интерфейсов которых устанавливается за внешний Firewall. Такая запись должна быть только одна.
Строка задается в дополнение к строкам типа 0 и определяет IP-адрес и порт доступа (АД- РЕС2:ПОРТ) через внешний Firewall к конкретному внешнему сетевому интерфейсу с адресом АДРЕС1 данного координатора. По значению АДРЕС2 будет выбран в качестве Firewall внеш¬ний ViPNet-координатор, если этот адрес совпадет с одним из реальных адресов некоторого V iPN et-координатора.
Реальный адрес АДРЕС 1, заданный в этом формате, в формате строк типа 0 может не задавать-ся.
4. в’.АДРЕСА
Действует только в записях для координаторов.
Если сервер "А" должен туннелировать определенные адреса, то их следует задать в виде адреса или диапазона адресов в одной или нескольких строках, начинающихся с S:
Например:
S:178.136.121.10 S:178.136.121.12-178.136.121.33 S:178.136.121.56-178.136.122.212 S:178.136.122.215;178.136.122.218
Адреса и диапазоны можно задавать одной строкой; разделитель - (;)
Специальные строки:
Внимание! Специальные строки действуют только если для координаторов заданы какие-либо его IP-адреса.
5. NOPROXY_ АР
Наличие такой записи у ViPNet-координатора означает, что АП, зарегистрированные в ЦУСе на этом координаторе, после инсталляции по умолчанию в режим работы через него не устанавли-ваются.
6. REQUEST AP
Наличие такой записи у ViPNet-координатора означает, что на АП, зарегистрированном в ЦУСе на этом координаторе, после инсталляции задается вопрос о желании установить АП в режим работы через данный координатор.
7. DYNAP
Наличие такой записи у ViPNet-координатора означает, что АП, зарегистрированные в ЦУСе на этом сервере, после инсталляции по умолчанию устанавливаются в режим работы через внеш¬ний Firewall С динамической трансляцией адресов.
Эти строки имеют смысл только в записях для координаторов при первом старте ViPNet Клиент [Монитора] на АП (после инсталляции). При обновлениях справочников их наличие или отсут-ствие состояние АП не изменяет.
Если настройки NOPROXY_AP, REQUEST_AP, DYN_AP заданы для АП, то эти настройки будут игнорироваться.
8. NOPROXY
Действует только в записях для АП. Наличие такой настройки означает, что этот АП не должен работать через свой сервер IP-адресов как через Firewall.
9. PROXY
Наличие такой настройки у АП означает, что этот АП, если это возможно, должен работать че¬рез ViPNet-координатор.
10. REQUEST
Наличие такой строки у АП означает, что на АП задается вопрос о желании установить АП в режим работы через ViPNet-координатор, определенный другими правилами. Такая строка име¬ет смысл только при первом старте ViPNet Клиент [Монитора] после инсталляции. При обнов¬лениях справочников наличие или отсутствие такой настройки состояние узла не изменяет и вопросов не инициирует.
11. DYN[:PORT]
Наличие такой настройки означает, что этот узел (АП или сервер) устанавливаются в режим ра-боты через Firewall С динамической трансляцией адресов.
Параметр :PORT можно не задавать. Если его нет или есть :OUT, то порт равен 55777.
12. NODYN
Наличие такой настройки означает, что этот АП не должен устанавливаться в режим работы через Firewall С динамической трансляцией адресов. Настройка имеет приоритет над настрой-ками DYN_AP для своего сервера.
Выбор конфигурации для загрузки:
Если перед указанными выше строками не указаны символы "К№:", то данные строки должны быть загружены для всех конфигураций программы ViPNet [Монитор] на компьютере.
Для некоторых специальных конфигураций можно сделать раздельное обновление. Сей-час есть две такие конфигурации для каждого пользователя: Основная и Открытый Интернет. Номера конфигураций имеют смысл только для существующей на узле конфигурации. Если та-кой конфигурации нет, то строка проигнорируется.
Если требуется обеспечить обновление некоторой строки только для конкретной конфи-гурации, то в начале ее следует указать "К№:", где № может принимать значение 0 или 1:
КО: - строка действует на основные конфигурации всех пользователей узла.
К1: - строка действует на конфигурации "Открытый Интернет" всех пользова-телей узла.
Например:
К1: АДРЕС :ПОРТ
- означает, что данная строка должна загрузиться только для конфигурации "Открытый Интер-нет". Конкретно этой записью может быть задано, что данный АП в конфигурации "Открытый Интернет" должен быть установлен в режим работы через сервер, имеющем адрес "АДРЕС". Или:
К1 :NOPROXY_ АР
- это означает, что АП в конфигурации "Открытый Интернет" не будет установлен в режим ра-боты через сервер, имеющий такую запись.