Вы находитесь на странице: 1из 149

Аппаратно-программный комплекс шифрования

Континент
Версия 3.9

Руководство администратора
Управление комплексом

RU.88338853.501430.022 90 3
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

© Компания "Код Безопасности", 2019. Все права защищены.

Все авторские права на эксплуатационную документацию защищены.

Этот документ входит в комплект поставки изделия. На него распространяются все условия
лицензионного соглашения. Без специального письменного разрешения компании "Код
Безопасности" этот документ или его часть в печатном или электронном виде не могут быть
подвергнуты копированию и передаче третьим лицам с коммерческой целью.

Информация, содержащаяся в этом документе, может быть изменена разработчиком без спе-
циального уведомления, что не является нарушением обязательств по отношению к
пользователю со стороны компании "Код Безопасности".

Почтовый адрес: 115127, Россия, Москва, а/я 66


ООО "Код Безопасности"
Телефон: 8 495 982-30-20
E-mail: info@securitycode.ru
Web: https://www.securitycode.ru

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 2
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Оглавление
Список сокращений 6
Введение 7
Локальное управление сетевым устройством 8
Запуск и перезагрузка сетевого устройства 8
Интерфейс системы локального управления 9
Настройка сетевого устройства 10
Создание резервной копии конфигурации сетевого устройства 10
Загрузка резервной копии конфигурации сетевого устройства 11
Изменение адреса подключения к ЦУС 11
Настройка модемного подключения КШ 11
Настройка системы управления SNMP 13
Настройка фрагментации пакетов 16
Настройка параметров шифратора 17
Настройка STUN 18
Настройки фильтрации протоколов на криптокоммутаторе 19
Настройка дистанционного доступа по протоколу SSH 20
Настройка безопасности 21
Переход к меню "Настройки безопасности" 21
Регистрация нового администратора 21
Ограничение управления ЦУС и СД 22
Обновление исходной ключевой информации 24
Смена ключей на КШ с ЦУС 25
Загрузка ключей 25
Удаление криптографической информации 26
Привязка аппаратных адресов маршрутизаторов 26
Ограничение числа соединений 28
Очистка журналов ЦУС 29
Настройка параметров локальной сигнализации о НСД 29
Режим прохождения пакетов с IP-опциями 29
Управление режимом контроля целостности 30
Дополнительные возможности 30
Команды дополнительного меню 30
Автоматическое выключение питания сетевого устройства 32

Программа управления ЦУС 33


Запуск программы 33
Интерфейс программы 33
Главное окно 33
Настройка интерфейса 36
Управление таблицами 37
Настройка программы 39
Настройка параметров соединения с ЦУС 39
Настройка параметров соединения с агентом 39
Управление лицензиями 40
Завершение работы 40
Переустановка, исправление и удаление 41
Организация работы администраторов комплекса 42
Политика аутентификации администраторов 42
Управление учетными записями администраторов 42
Смена административного ключа 45
Копирование административного ключа 45
Централизованное управление сетевыми устройствами 47
Управление сетевым устройством 47
Миграция на новую аппаратную платформу 48
Просмотр сведений о ПО сетевого устройства 49
Управление группой сетевых устройств 49

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 3
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Группа сетевых устройств 49


Групповая настройка сетевых устройств 52
Настройка общих параметров сетевого устройства 54
Настройка интерфейсов 55
Сетевые интерфейсы 55
Альтернативные адреса КШ и КК 58
Настройка объединения интерфейсов 58
Модемное подключение и поддержка PPPoE 61
Настройка Multi-WAN 64
Настройка режима Multi-WAN 64
Параметры канала связи 65
Обеспечение отказоустойчивости канала связи 65
Балансировка трафика между внешними интерфейсами сетевого устройства 66
Настройки сервиса DHCP 68
Включение и настройка режима сервера 68
Включение и настройка ретранслятора 69
Отключение сервиса DHCP 70
Просмотр статистики сервера DHCP 70
Настройка параметров маршрутизации 71
Переход к настройке параметров 71
Переключение режима маршрутизации 71
Статическая маршрутизация 72
Динамическая маршрутизация 73
Определение классов трафика 74
Управление приоритизацией трафика 75
Окно управления QoS 75
Настройка общих параметров очереди на интерфейсе 76
Настройка параметров очереди 76
Экспорт/импорт конфигурации очередей 77
Управление списком связанных сетевых устройств 77
Управление очередью заданий 78
Режим изолированной сети 79
Установка времени на ЦУС 80
Настройка DNS 81
Настройка дистанционного доступа по протоколу SSH 82
Диагностика сетевого устройства 84
Обращение в техподдержку 85

Управление пользователями 87
Управление списком пользователей 87
Управление криптографическими ключами 89
Однолетняя схема распределения ключей 89
Общий порядок смены ключей 89
Генерация ключевого материала 90
Cмена ключей сетевого устройства 90
Смена ключей парных связей КШ 91
Запись ключей сетевого устройства на носитель 91
Трехлетняя схема распределения ключей 92
Мастер управления ключами 93
Назначение ключей сетевым устройствам 94
Активация ключей в ЦУС 96
Пересылка ключей 97
Удаление комплектов ключей 99
Запись ключей на носитель 100
Просмотр текущего распределения ключей 101

Организация связи со сторонними криптографическими сетями 102


Общий порядок организации связи 102
Инфраструктура открытых ключей 102
Управление внешними сетями 104
Управление межсетевыми ключами 105

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 4
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Агент Роскомнадзора 108


Установка агента 108
Программа управления агентом Роскомнадзора 109
Команды управления агентом Роскомнадзора 109
Настройка параметров агента 110
Запуск агента 110
Сообщения об ошибках 111
Обеспечение отказоустойчивости комплекса 112
Резервное копирование и восстановление конфигурации ЦУС 112
Резервное копирование конфигурации ЦУС 112
Восстановление конфигурации ЦУС из резервной копии 113
Управление кластером 114
Условия функционирования кластера 114
Создание кластера 115
Добавление и удаление дополнительных интерфейсов резервирования 117
Изменение адреса на интерфейсах резервирования 117
Определение состояния кластера 117
Переключение канала связи в кластере 118
Выключение режима резервирования 118
Нештатные ситуации при работе кластера 119
Восстановление работы кластера после ремонта основного устройства 119
Резервирование ЦУС 120
Инициализация резервных платформ центра управления сетью 121
Синхронизация БД ЦУС 122
Смена режима работы КШ с ЦУС 124

Обновление ПО комплекса 125


Общий порядок действий 125
Подготовка к обновлению программного обеспечения 125
Обновление ПО ЦУС, ПУ ЦУС 126
Установка ПО "Континент" 126
Обновление программного обеспечения сетевых устройств 129
Удаление предыдущей версии файла обновления ПО 129
Загрузка файла обновления на ЦУС 129
Загрузка файла обновления на сетевое устройство 130
Обновление файлов сетевых устройств 131
Обновление программы управления СД 131
Обновление абонентского пункта 132
Приложение 133
Протоколы и порты 133
Права пользователей на администрирование комплекса 134
Модуль поддержки SNMP 136
Формат и примеры конфигурационных файлов 139
Формат конфигурационного файла OSPF 139
Примеры конфигурационных файлов 139
Формат конфигурационного файла BGP 140
Примеры конфигурационных файлов 141
Метасимволы в регулярных выражениях 142
Диагностика сетевого устройства 143
Сохранение базы данных ЦУС 144
Аппаратное тестирование сетевого устройства 144
Загрузка сведений о запрещенных ресурсах 145
Звуковые сообщения о работе сетевого устройства 146
Особенности эксплуатации КШ с модемным подключением 147
Рекомендуемый порядок подключения КШ к коммутируемой линии 147
Изменение типа телефонной линии при модемном подключении 148

Документация 149

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 5
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Список сокращений
АП Абонентский пункт

АС Автономная система

АПКШ Аппаратно-программный комплекс шифрования

АРМ ГК Автоматизированное рабочее место генерации ключей

БД База данных

ДСЧ Датчик случайных чисел

КК Криптографический коммутатор

КШ Криптографический шлюз

НСД Несанкционированный доступ

ОС Операционная система

ПАК Программно-аппаратный комплекс

ПО Программное обеспечение

ПУ Программа управления

РКН Роскомнадзор

РМ Рабочее место

СД Сервер доступа

СЗИ Средство защиты информации

СУ Сетевое устройство (КШ, КК)

ЦУС Центр управления сетью

BGP Border Gateway Protocol

BIOS Basic Input-Output System

DHCP Dynamic Host Configuration Protocol

DNS Domain Name System

ICMP Internet Control Message Protocol

IP Internet Protocol

SNMP Simple Network Management Protocol

SSH Secure Shell

OSPF Open Shortest Path First

TCP Transmission Control Protocol

ToS Type of Service

UDP User Datagram Protocol

USB Universal Serial Bus

VLAN Virtual Local Area Network

VoIP Voice over IP

VTY VirtualTeletYpe

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 6
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Введение
Данный документ предназначен для администраторов изделия "Аппаратно-
программный комплекс шифрования "Континент" (далее — АПКШ "Континент",
комплекс). В нем содержатся сведения, необходимые администраторам для ввода
комплекса в эксплуатацию, централизованного управления сетевыми устрой-
ствами, а также для локального управления отдельными компонентами комп-
лекса.
Дополнительные сведения, необходимые администратору комплекса, со-
держатся в [1]–[5].
Сайт в интернете. Информация о продуктах компании "Код Безопасности"
представлена на сайте https://www.securitycode.ru/products/.
Служба технической поддержки. Связаться со службой технической под-
держки компании "Код Безопасности" можно по телефону 8-800-505-30-20 или
по электронной почте support@securitycode.ru . Страница службы технической
поддержки на сайте компании: https://www.securitycode.ru/services/tech-
support/.
Учебные курсы. Освоить аппаратные и программные продукты компании "Код
Безопасности" можно в авторизованных учебных центрах. Перечень учебных
центров и условия обучения представлены на сайте компании
https://www.securitycode.ru/company/education/training- courses/ . Связаться c
представителем компании по вопросам организации обучения можно по элек-
тронной почте (education@securitycode.ru).

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 7
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Глава 1
Локальное управление сетевым
устройством
Запуск и перезагрузка сетевого устройства
В этом подразделе представлена процедура запуска сетевого устройства, на-
ходящегося в эксплуатации. Процедура запуска сетевого устройства при его пер-
вом включении приведена в [2].
Для перезагрузки устройства достаточно нажать комбинацию клавиш <Ctrl> +
<Alt> + <Del>.
Включение и перезагрузку устройства можно выполнить дистанционно, с помо-
щью программы управления ЦУС (см. стр. 47).

Для запуска сетевого устройства:


1. Включите питание сетевого устройства. На экране появится основное окно
ПАК "Соболь", в центре которого будет отображаться запрос персонального
идентификатора.
2. Аккуратно приложите персональный идентификатор администратора ПАК
"Соболь" к считывателю.
После успешного считывания информации из идентификатора в за-
висимости от настроек ПАК "Соболь" на экране может появиться запрос па-
роля. В этом случае введите пароль администратора ПАК "Соболь".
3. Нажмите клавишу <Enter>.
На экране появится главное меню администратора ПАК "Соболь".

Примечание. Все сведения, необходимые администратору для управления работой ПАК "Со-
боль", содержатся в руководстве администратора ПАК "Соболь".

4. Выберите в меню пункт "Загрузка операционной системы" и нажмите кла-


вишу <Enter>.
После успешной проверки целостности файлов программного обеспечения
средствами ПАК "Соболь" начнется загрузка операционной системы.
По окончании загрузки операционной системы на экране появится сооб-
щение:
Нажмите Enter для настройки параметров
Сообщение актуально в течение 5 секунд. Для выполнения настроек перед
запуском сетевого устройства нажмите клавишу <Enter> и в открывшемся
главном меню сетевого устройства выберите нужный пункт (см. стр. 10).

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 8
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

После выполнения настроек вернитесь в главное меню и выберите пункт "Вы-


ход".
5. По завершении настройки или по истечении 5 секунд конфигурация комп-
лекса будет загружена и на экране появится сообщение:
Успешный запуск: <Дата, Время>.
С этого момента сетевое устройство переходит в рабочий режим.

Интерфейс системы локального управления


Для пользователя при локальном управлении СУ доступны следующие типы
окон:

Тип окна Способ переключения

Окно с главным меню <Alt> + <F1>

Окно с дополнительным меню (требуется аутентификация <Alt> + <F2>


локального администратора, см. стр. 30)

Во всех окнах допустим переход в режим чтения отображаемой информации на


экране при нажатии клавиши <Scroll Lock>. В этом режиме используются
следующие клавиши клавиатуры:
• <↑> — для перемещения на одну строку вверх;
• <↓> — для перемещения на одну строку вниз;
• <Page Up> — для перемещения на одну страницу вверх;
• <Page Down> — для перемещения на одну страницу вниз;
• <Home> — для перемещения в конец списка;
• <End> — для перемещения в начало списка;
• <Scroll Lock> — для возврата в режим управления.
Сетевое устройство можно эксплуатировать без монитора. В этом случае работа
сетевого устройства контролируется подачей звуковых сигналов. Соответствие
звуковых сигналов сообщениям и действия оператора по этим сигналам см. на
стр. 146.
При локальном управлении изменение настроек сетевого устройства, на-
ходящегося в рабочем режиме, невозможно.

Для перехода к режиму настройки сетевого устройства:


1. Выключите питание сетевого устройства. Подключите к системному блоку се-
тевого устройства клавиатуру и монитор.
2. Осуществите запуск сетевого устройства (см. стр. 8 ). При появлении на эк-
ране сообщения "Нажмите Enter для настройки параметров" нажмите кла-
вишу <Enter>.

Примечание. Если в течение 5 секунд клавиша <Enter> нажата не будет, сетевое устройство
автоматически продолжит загрузку имеющейся конфигурации.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 9
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

После нажатия клавиши <Enter> на экране появится главное меню, подоб-


ное следующему:
1: Завершение работы
2: Перезагрузка
3: Управление конфигурацией
4: Настройка безопасности
6: Настройка СД <функция недоступна>
7: Тестирование
0: Выход
Выберите пункт меню (0–7):
Примечание. На выбор команды меню дается одна минута, после чего осуществляется ав-
томатическое завершение процедуры настройки и переход устройства в рабочий режим.

Настройка сетевого устройства


Для перехода к меню управления СУ:
• В главном меню локального управления СУ введите номер команды "Управ-
ление конфигурацией" и нажмите клавишу <Enter>.
На экране появится меню управления СУ, подобное следующему:
1: Сохранение конфигурации
2: Загрузка конфигурации
3: Изменение адреса активного ЦУС
4: Настройка PPP-соединений
5: Настройка сервиса SNMP
6: Настройка шифрования
7: Настройка фрагментации
8: Настройка коммутации
9: Настройка отладочного журнала
10: Настройка доступа удаленного терминала
0: Выход
Выберите пункт меню (0 - 10):

Создание резервной копии конфигурации сетевого устройства


Резервную копию конфигурации сетевого устройства сохраняют в за-
шифрованном виде на внешнем носителе в файле gate.cfg. В качестве внешнего
носителя используют USB-флеш-накопитель.

Для создания резервной копии:


1. Перейдите к меню управления сетевым устройством (см. стр. 10).
2. Введите в строке ввода номер команды "Сохранение конфигурации" и наж-
мите клавишу <Enter>.
На экране появится сообщение:
Введите пароль
3. Введите пароль для защиты носителя с конфигурацией и нажмите клавишу
<Enter>.
Внимание! Длина пароля – не менее 5 символов.
На экране появится сообщение:
Повторите пароль
4. Введите пароль повторно и нажмите клавишу <Enter>.
На экране появится сообщение:
Вставьте носитель для записи конфигурации и нажмите Enter
5. Вставьте USB-флеш-накопитель для создания резервной копии, дождитесь
сообщений на экране о подключении носителя к системе и нажмите клавишу
<Enter>.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 10
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Дождитесь информационного сообщения о сохранении конфигурации.

Загрузка резервной копии конфигурации сетевого устройства


Для загрузки конфигурации сетевого устройства подготовьте внешний носитель
с конфигурационным файлом gate.cfg.

Для загрузки резервной копии:


1. Перейдите к меню управления сетевым устройством (см. стр. 10).
2. Введите в строке ввода номер команды "Загрузка конфигурации" и нажмите
клавишу <Enter>.
На экране появится сообщение:
Вставьте носитель с конфигурацией КШ и нажмите Enter
3. Вставьте USB-флеш-накопитель для создания резервной копии, дождитесь
сообщений на экране о подключении носителя к системе и нажмите клавишу
<Enter>.
На экране появится сообщение:
Введите пароль
4. Введите пароль и нажмите клавишу <Enter>.
Дождитесь информационного сообщения о загрузке конфигурации.

Изменение адреса подключения к ЦУС


Данную процедуру выполняют для ликвидации нештатной ситуации, когда по
каким-либо причинам связь между сетевым устройством и ЦУС установить не уда-
лось.
Данную процедуру выполняют в следующих случаях:
• на КШ с ЦУС – если в результате нештатной ситуации не удалось установить
связь между ПУ и ЦУС;
• на КШ – если в результате нештатной ситуации не удалось установить связь
между КШ и ЦУС.
Предварительно следует задать адрес сетевого устройства централизованно в
программе управления ЦУС (см. стр. 58).
Изменение внешнего адреса возможно только при отключенном режиме ди-
намической маршрутизации.

Для изменения адреса подключения к ЦУС:


1. Перейдите к меню управления (см. стр. 10).
2. Введите в строке ввода номер команды "Изменение адреса активного ЦУС" и
нажмите клавишу <Enter>.
На экране появится запрос на ввод нового IP-адреса ЦУС.
3. Введите IP-адрес и нажмите клавишу <Enter>.
На экране появится меню управления.
4. Для завершения процедуры введите в строке ввода номер команды "Выход" и
нажмите клавишу <Enter>.

Настройка модемного подключения КШ


Данную процедуру выполняют для ликвидации нештатной ситуации, когда по-
сле настройки модемного подключения средствами централизованного управ-
ления связь между ЦУС и КШ установить не удалось.
Предварительно следует настроить модемное подключение централизованно в
ПУ ЦУС (см. стр. 61).
Модемное подключение не предусмотрено для ЦУС и КШ с установленным сер-
вером доступа.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 11
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Для перехода к меню настройки модемного подключения:


1. Перейдите к меню управления КШ (см. стр. 10).
2. Введите в строке ввода номер команды "Настройка PPP-соединений" и наж-
мите клавишу <Enter>. На экране появится меню:
1: Модем для выделенной линии
2: Входящие модемные звонки
3: Исходящие модемные звонки
4: PPPoE
5: Выход
Выберите пункт меню (1-5):
3. Введите номер команды и нажмите клавишу <Enter>.

Для настройки модемного подключения по коммутируемой линии:


1. Введите в строке ввода нужный номер одной из следующих команд:
• Входящие модемные звонки.
• Исходящие модемные звонки.
Нажмите клавишу <Enter>. На экране появится сообщение:
Задан режим <название режима> модемных звонков
Скорость порта (0 для USB модема):
2. Введите нужное значение скорости передачи данных через COM-порт (напри-
мер, 19200, 38400, 57600, 115200) и нажмите клавишу <Enter>.
Пояснение. При использовании USB-порта укажите значение "0".
На экране появится сообщение:
Таймаут неактивности (в секундах):
3. Введите значение времени неактивности и нажмите клавишу <Enter>.
На экране появится сообщение:
Имя пользователя:
4. Введите имя пользователя и нажмите клавишу <Enter>.
На экране появится сообщение:
Пароль:
5. Введите пароль и нажмите клавишу <Enter>.
На экране появится сообщение:
Строка инициализации модема:
6. Введите значение строки инициализации модема (например "ATS6=0") и
нажмите клавишу <Enter>.
Если задан режим входящих модемных звонков, на экране появится текущее меню.
Перейдите к п. 8.
Если задан режим исходящих модемных звонков, на экране появится сооб-
щение:
Номер для дозвона (пустой - прекратить ввод):
7. Введите номер телефона модемного пула и нажмите клавишу <Enter>. На эк-
ране появится это же сообщение для ввода следующего номера. Введите тре-
буемые номера. После ввода каждого номера нажимайте клавишу <Enter>.
Для перехода к следующему шагу нажмите клавишу <Enter> без ввода но-
мера.
На экране появится меню управления.
8. Перейдите к настройке следующего параметра или выйдите из меню.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 12
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Для настройки подключения по выделенной линии:

Примечание. При использовании выделенной линии необходимо выполнить настройку модема


заранее, до подключения его к КШ.
1. Введите в строке ввода номер команды "Модем для выделенной линии" и наж-
мите клавишу <Enter>.
На экране появится сообщение:
Задан режим выделенной линии
Скорость порта:
2. Введите нужное значение скорости передачи данных через COM-порт (напри-
мер, 19200, 38400, 57600, 115200) и нажмите клавишу <Enter>.
Примечание. Значения скоростей передачи данных для модемов на обоих концах соединения
должны быть одинаковыми.
На экране появится сообщение:
Имя пользователя:
3. Введите имя пользователя и нажмите клавишу <Enter>.
На экране появится сообщение:
Пароль:
4. Введите пароль и нажмите клавишу <Enter>.
На экране появится меню управления.
5. Перейдите к настройке следующего параметра или выйдите из меню.

Для настройки режима PPPoE:


1. Введите в строке ввода номер команды "PPPoE" и нажмите клавишу <Enter>.
На экране появится сообщение:
Задан режим PPPoE
Доступные интерфейсы: <перечень интерфейсов>
Название интерфейса, через который осуществляется
подключение:
2. Введите название интерфейса и нажмите клавишу <Enter>.
На экране появится сообщение:
Имя сервиса (пустое - любой):
3. При необходимости введите имя сервиса и нажмите клавишу <Enter>.
На экране появится сообщение:
Имя пользователя:
4. Введите имя пользователя и нажмите клавишу <Enter>.
На экране появится сообщение:
Пароль:
5. Введите пароль и нажмите клавишу <Enter>.
На экране появится меню управления.
6. Перейдите к настройке следующего параметра или выйдите из меню.

Настройка системы управления SNMP


Для контроля сетевого устройства по протоколу SNMP предусмотрен модуль, ре-
ализующий сервис SNMP.
Для настройки сервиса SNMP на сетевом устройстве с помощью локальных
средств управления необходимо указать имя community, которое будет являться
паролем для доступа к данному сервису, адреса интерфейсов сетевого устрой-
ства с номерами портов, через которые сервис будет доступен для средств управ-
ления сетью.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 13
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Имеется возможность рассылки служебных сообщений (traps). Эти сообщения


рассылаются при возникновении следующих событий:
• "холодный запуск" (coldStart);
• физическое нарушение связи на интерфейсе (linkDown);
• восстановление связи на интерфейсе (linkUp).
Для рассылки необходимо указать имена community, адреса и номера портов по-
лучателей служебных сообщений (traps).

Для настройки системы управления SNMP:


1. Перейдите к меню управления сетевого устройства (см. стр. 10).
2. Введите в строке ввода номер команды "Настройка сервиса SNMP" и нажмите
клавишу <Enter>.
На экране появится меню настройки SNMP.
3. Введите в строке ввода номер команды "Настроить поддержку SNMP" и наж-
мите клавишу <Enter>.
На экране появится строка для ввода служебного параметра "Community
name" (имя сообщества), используемого для идентификации отдельных ча-
стей сети:
Community name:
4. Введите при необходимости имя сообщества (например "public") или оставьте
поле пустым и нажмите клавишу <Enter>.
На экране появится строка для ввода служебного параметра "Location", ис-
пользуемого для обозначения физического месторасположения сетевого
устройства:
Location:
5. Введите при необходимости значение параметра (например "Moscow") или
оставьте поле пустым и нажмите клавишу <Enter>.
На экране появится строка для ввода адреса электронной почты лица, от-
ветственного за функционирование сетевого устройства:
e-mail:
6. Введите при необходимости адрес или оставьте поле пустым и нажмите кла-
вишу <Enter>.
На экране появится строка для указания источников взаимодействия с систе-
мой управления сетью:
Источники
все интерфейсы криптошлюза (Y/N):
7. Выполните одно из следующих действий:
• Введите "Y", если источниками информации будут все интерфейсы се-
тевого устройства, и нажмите клавишу <Enter>.
На экране появится строка для ввода номера порта, который будет исполь-
зоваться при взаимодействии с системой управления сетью:
порт (стандартный – 161):
Введите номер порта или оставьте поле пустым для использования порта
с номером 161 (по умолчанию) и нажмите клавишу <Enter>.
На экране появится строка для указания получателей служебных со-
общений (traps). Перейдите к выполнению п. 11.
• Введите "N", если необходимо указать только часть интерфейсов, и наж-
мите клавишу <Enter>.
На экране появится строка для указания источников взаимодействия с
системой управления сетью:
Источник 1
IP адрес интерфейса криптошлюза:

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 14
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

8. Введите IP-адрес используемого интерфейса сетевого устройства и нажмите


клавишу <Enter>.
На экране появится строка для ввода номера порта, который будет исполь-
зоваться для указанного интерфейса сетевого устройства:
порт (стандартный – 161):
9. Введите номер порта или оставьте поле пустым для использования порта с но-
мером 161 (по умолчанию) и нажмите клавишу <Enter>.
На экране появится строка для указания следующего источника вза-
имодействия с системой управления сетью:
Источник 2 (Y/N):
10.Выполните одно из следующих действий:
• Введите "Y", если необходимо указать еще один источник информации, и
нажмите клавишу <Enter>. Повторите пп. 8–9.
• Введите "N", если все источники информации уже определены, и наж-
мите клавишу <Enter>.
На экране появится строка для указания получателя служебных сообщений
(traps):
Получатель traps(Y/N):
11.Выполните одно из следующих действий:
• Введите "N", если нет получателей, и нажмите клавишу <Enter>.
На экране появится текущее меню. Перейдите к выполнению п. 16.
• Введите "Y", если необходимо указать получателей служебных со-
общений (traps), и нажмите клавишу <Enter>.
На экране появится строка для ввода имени сообщества, в котором на-
ходится получатель:
Community name:
12.Введите при необходимости имя сообщества или оставьте поле пустым и наж-
мите клавишу <Enter>.
На экране появится строка для ввода IP-адреса получателя:
IP-адрес:
13.Введите IP-адрес получателя и нажмите клавишу <Enter>.
На экране появится строка для ввода номера порта, который будет исполь-
зоваться при передаче служебных сообщений:
порт (стандартный – 162):
14.Введите номер порта или оставьте поле пустым для использования порта с но-
мером 162 (по умолчанию) и нажмите клавишу <Enter>.
На экране появится строка для указания следующего получателя служебных
сообщений (traps):
Получатель traps 2 (Y/N):
15.Выполните одно из следующих действий:
• Введите "Y", если необходимо указать еще одного получателя, и нажмите
клавишу <Enter>. Повторите пп. 12–14.
• Введите "N", если все получатели определены, и нажмите клавишу
<Enter>.
На экране появится меню настройки SNMP.
16.Если поддержка SNMP до этого была выключена, включите ее, введя "2" и на-
жав клавишу <Enter>.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 15
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Настройка фрагментации пакетов


В рамках механизмов фрагментации передаваемых пакетов на сетевом устрой-
стве предусмотрены следующие настройки:
• принудительная установка флага DF (Don't fragment);
• задание значения MSS.
Принудительная установка флага DF выполняется раздельно на канале управ-
ления и каналах VPN. По умолчанию после установки ПО и инициализации се-
тевого устройства принудительная установка флага DF для канала управления и
VPN-каналов включена.
Внимание! Настройку фрагментации пакетов выполняют централизованно средствами ПУ ЦУС.
Приведенные ниже процедуры настройки рекомендуется применять в тех случаях, когда по каким-ли-
бо причинам настройку нельзя выполнить централизованно.

Для настройки фрагментации пакетов:


1. Перейдите к меню управления сетевым устройством (см. стр. 10).
2. Введите в строке ввода номер команды "Настройка фрагментации" и наж-
мите клавишу <Enter>.
На экране появится меню настроек фрагментации.
1: Показать текущие настройки фрагментации
2: Настройки path MTU канала управления
3: Настройки path MTU канала VPN
4: Настройки MSS
0: Выход
Выберите пункт меню (0 – 4):
3. Для настройки фрагментации или выхода из меню введите номер нужной ко-
манды и нажмите клавишу <Enter>.

Для просмотра текущего состояния настроек фрагментации:


1. В меню настроек фрагментации введите номер команды "Показать текущие
настройки фрагментации" и нажмите клавишу <Enter>.
На экране будут отображены значения текущих настроек фрагментации:
Поиск MTU для канала управления включен
Поиск MTU для VPN каналов включен
MSS пользовательского трафика не изменяется

Примечание. "Поиск MTU для <название канала> включен"— флаг DF на IP-пакеты ставится;
"Поиск MTU для <название канала> выключен" — флаг DF на IP-пакеты не ставится.
2. Для настройки фрагментации или выхода из меню введите номер нужной ко-
манды и нажмите клавишу <Enter>.

Для включения/отключения принудительной установки флага DF:


1. В меню настроек фрагментации введите номер команды "Настройки path
MTU..." для канала управления или VPN- каналов и нажмите клавишу
<Enter>.
На экране появится меню с командами включения и отключения режима для
выбранного канала, подобное следующему:
1: Включить автоматический поиск MTU для VPN
2: Отключить автоматический поиск MTU для VPN
0: Выход
Выберите пункт меню (0 – 2):
2. Введите номер нужной команды и нажмите клавишу <Enter>.
Будет выполнено включение/отключение режима принудительной уста-
новки флага DF.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 16
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Примечание. Для проверки результата выполнения команды используйте команду "Показать


текущие настройки фрагментации".
3. Для возврата в меню настроек фрагментации введите номер команды "Вы-
ход" и нажмите клавишу <Enter>.

Для настройки MSS:


1. В меню настроек фрагментации введите номер команды "Настройки MSS" и
нажмите клавишу <Enter>.
На экране появится меню настройки MSS.
1: Показать значение TCP MSS
2: Установить значение TCP MSS
3: Не изменять MSS пользовательского трафика
0: Выход
Выберите пункт меню (0 – 3):

Команда Описание

Показать значение Вывод на экран текущего значения MSS.


TCP MSS Внимание! После установки ПО и инициализации сетевого
устройства по умолчанию установлено значение "MSS
пользовательского трафика не изменяется"

Установить Ввод вручную значения из диапазона 536–1408


значение TCP MSS

Не изменять MSS Значение MSS устанавливается автоматически


пользовательского
трафика

Выход Возврат в меню настроек фрагментации

2. Введите номер нужной команды и нажмите клавишу <Enter>.

Настройка параметров шифратора


Для шифратора сетевого устройства (КШ и КК) при локальном управлении преду-
смотрены следующие настройки:
• Включение и отключение режима шифрования трафика на основе адреса ис-
точника.
Включение или отключение режима шифрования трафика к парному се-
тевому устройству зависит от принадлежности адреса источника — входит он
в диапазон адресов глобальной сети интернет ("белый" адрес) или в диапа-
зон адресов, назначаемых для внутренних сетей ("серый" адрес). При вклю-
ченном режиме, если адрес источника "белый", трафик, передаваемый в
защищаемую сеть парного сетевого устройства, зашифровываться не будет.
При отключенном режиме такой трафик будет зашифровываться.
• Разрешение или запрет дефрагментации пакетов до фильтра.
Дефрагментация пакетов в КШ и КК может выполняться на входе или на вы-
ходе фильтра. Для предупреждения перегрузки фильтра в случае дли-
тельного поступления на его вход фрагментированных пакетов
рекомендуется установить режим, в котором дефрагментация пакетов будет
выполняться до применения фильтра. Такой режим устанавливают командой
"Разрешить дефрагментацию пакетов до пакетного фильтра".
Для переключения в режим, в котором дефрагментация выполняется после
фильтра, необходимо использовать команду "Запретить дефрагментацию
пакетов до пакетного фильтра".
По умолчанию установлен режим дефрагментации пакетов после фильтра.
• Разрешение или запрет распределения пакетов с учетом соединений.
Данная настройка позволяет распределять пакеты между ядрами: пакеты с
одинаковыми значениями MAC- адресов источника/получателя об-
рабатываются одними и теми же ядрами. Такой режим позволяет повысить

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 17
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

производительность в тех случаях, когда трафик содержит большое ко-


личество пакетов с разными адресами источника/получателя.
По умолчанию для КШ распределение пакетов разрешено, для КК – запре-
щено.
• Задание числа потоков шифрования.
На КШ и КК трафик при шифровании распределяется по потокам. При на-
личии свободных ресурсов процессора целесообразно повысить количество
потоков для повышения производительности шифрования. Данная на-
стройка актуальна для платформ IPC-1000 и выше.
По умолчанию число потоков определяется шифратором автоматически.

Для настройки шифратора:


Внимание! Если сетевое устройство находится в кластере, описанные ниже настройки должны
быть выполнены на каждом устройстве, входящем в состав кластера.
1. Перейдите к меню управления сетевого устройства (см. стр. 10).
2. Введите в строке ввода номер команды "Настройка шифрования" и нажмите
клавишу <Enter>.
На экране появится меню:
1: Включение/Отключение режима шифрования трафика на
основе адреса источника
2: Разрешение/Запрет дефрагментации пакетов до пакетного
фильтра
3: Запрет/Разрешение распределения пакетов с учетом
соединений
4: Задание числа потоков шифрования
0: Выход
Выберите пункт меню (0 – 4):
3. Введите номер нужной команды и нажмите клавишу <Enter>.
Для первых трех команд статус параметра в меню на экране изменится.
При выборе задания числа потоков шифрования на экране появится запрос:
Задайте число потоков шифрования (1-32):
4. Введите нужное значение и нажмите клавишу <Enter>.

Настройка STUN
Данная настройка выполняется в том случае, когда необходимо установить пар-
ную связь между криптошлюзом (криптошлюзами), расположенным за Hide NAT
или Symmetric NAT, и криптошлюзом, расположенным за обычным NAT и до-
ступным для КШ с ЦУС без трансляции адресов. В этом случае для установления
между ними парной связи необходимо на КШ с ЦУС задать правило замены ад-
ресов.
Правило записывается в следующем виде:
<ID>:<IP-адрес>
где
• ID – идентификационный номер КШ, расположенного за обычным NAT;
• IP-адрес – преобразованный после NAT IP-адрес КШ с данным иденти-
фикационным номером.
Если в сети имеется несколько КШ, доступных для КШ с ЦУС без трансляции ад-
ресов, правило задается для каждого из них. Совокупность правил составляет та-
блицу замены адресов.
Внимание! Не рекомендуется включать в состав таблицы криптошлюзы, работающие в режиме
Multi-WAN. Работоспособность VPN-каналов таких КШ не гарантируется.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 18
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Для просмотра и настройки замены адресов:


1. Перейдите к меню управления сетевым устройством (см. стр. 10).
2. Введите в строке ввода номер команды "Настройка замены адресов STUN" и
нажмите клавишу <Enter>.
Примечание. Команда доступна только на КШ с ЦУС.
На экране появится меню.
1: Показать таблицу замены адресов
2: Изменить таблицу замены адресов
3: Очистить таблицу замены адресов
0: Выход
Выберите пункт меню (0 – 3):

Для просмотра таблицы:


1. Введите номер команды "Показать таблицу замены адресов" и нажмите кла-
вишу <Enter>.
На экране появится список заданных правил. Каждая строка списка соответ-
ствует правилу, заданному для КШ за обычным NAT.
Примечание. Если правила не задавались, на экране появится соответствующее сообщение.
2. После просмотра правил введите номер нужной команды меню и нажмите кла-
вишу <Enter>.

Для изменения таблицы:


1. Введите номер команды "Изменить таблицу замены адресов" и нажмите кла-
вишу <Enter>.
На экране появится список правил, разделенных пробелом. Если правила не
задавались, на экране появится строка ввода.
2. Внесите необходимые изменения в правила или введите новые правила, раз-
деляя их пробелом, и нажмите клавишу <Enter>.
3. Выйдите из меню и выполните загрузку устройства.
Правила вступят в силу после загрузки устройства.

Для очистки таблицы:


1. Введите номер команды "Очистить таблицу замены адресов" и нажмите кла-
вишу <Enter>.
На экране появится сообщение об очистке таблицы.
2. Выйдите из меню и выполните загрузку устройства.

Настройки фильтрации протоколов на криптокоммутаторе


Приведенные ниже настройки предназначены для запрета или разрешения про-
хождения через криптокоммутатор пакетов следующих протоколов:
• LACP;
• STP;
• 802.1X для Port-based access contro;
• Pause-пакеты.
По умолчанию после ввода криптокоммутатора в эксплуатацию прохождение
пакетов указанных протоколов запрещено.

Для просмотра текущих настроек коммутации:


1. Перейдите к меню управления сетевым устройством (см. стр. 10).
2. Введите в строке ввода номер команды "Настройка коммутации" и нажмите
клавишу <Enter>.
На экране появится меню настроек коммутации.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 19
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

1: Показать текущие настройки коммутации


2: Разрешить прохождение LACP-пакетов
3: Разрешить прохождение STP-пакетов
4; Разрешить прохождение пакетов Port-Based access control
по 802.1x
5; Разрешить прохождение Pause-пакетов для flow control
0: Выход
Выберите пункт меню (0 – 5):
3. Введите в строке ввода номер команды "Показать текущие настройки ком-
мутации" и нажмите клавишу <Enter>.
На экране отобразятся текущие настройки.
Прохождение пакетов LACP запрещено
Прохождение пакетов STP запрещено
Прохождение пакетов 802.1 запрещено
Прохождение Pause пакетов запрещено

Для разрешения/запрета прохождения пакетов:


• В меню настроек коммутации введите в строке ввода номер команды для нуж-
ного протокола и нажмите клавишу <Enter>.
Содержание команды в меню изменится на противоположное ("запретить"
на "разрешить" и — наоборот).

Настройка дистанционного доступа по протоколу SSH


Дистанционный доступ разрешается только в рамках текущей сессии, после пе-
резагрузки сетевого устройства все параметры по дистанционному доступу будут
сброшены.

Для настройки дистанционного доступа к локальному управлению


сетевым устройством:
1. Перейдите к меню управления сетевым устройством (см. стр. 10).
2. Введите в строке ввода номер команды "Настройка доступа удаленного тер-
минала" и нажмите клавишу <Enter>.
На экране появится меню настроек SSH.
1: Включить сервис удаленного терминала
2: Установить адрес принимающего соединения
3: Изменить порт принимающего соединения
4; Список разрешенных IP-адресов
0: Выход
Выберите пункт меню (0 – 4):
3. Введите в строке ввода номер команды "Установить адрес принимающего
соединения" и нажмите клавишу <Enter>.
На экране появится запрос IP-адреса.
4. Введите требуемый IP- адрес интерфейса, через который будет осуществ-
ляться дистанционный доступ, и нажмите клавишу <Enter>.
На экране появится меню настроек SSH, в котором строка установления ад-
реса принимающего соединения дополнится введеным IP-адресом.
5. Введите в строке ввода номер команды "Изменить порт принимающего соеди-
нения" и нажмите клавишу <Enter>.
На экране появится запрос порта.
6. Введите в строке ввода номер используемого порта и нажмите клавишу
<Enter>.
Примечание. Для доступа по протоколу SSH обычно используется 22-й TCP-порт.
На экране появится меню настроек SSH, в котором строка изменения порта
принимающего соединения дополнится введеным номером порта.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 20
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

7. Введите в строке ввода номер команды "Список разрешенных IP-адресов" и


нажмите клавишу <Enter>.
На экране появится окно формирования списка.
8. Для добавления IP-адреса нажмите клавишу <F2>, введите требуемый IP-ад-
рес и нажмите клавишу <Enter>.
9. Для редактирования IP-адреса перейдите на него, используя курсоры кла-
виатуры, нажмите клавишу <Enter>, внесите требуемые изменения и наж-
мите клавишу <Enter>.
10.Для удаления IP-адреса перейдите на него, используя курсоры клавиатуры,
нажмите клавишу <F8> и подтвердите операцию удаления, выбрав команду
"Да" и нажав клавишу <Enter>.
11. После формирования списка IP-адресов, которым будет разрешен доступ к
удаленному управлению устройством, нажмите клавишу <Esс>.
12.Для возвращения к меню управления сетевым устройством введите "0" и наж-
мите клавишу <Enter>.

Настройка безопасности
Переход к меню "Настройки безопасности"
Для перехода к меню "Настройки безопасности":
1. Перейдите к режиму настройки сетевого устройства (см. стр. 9).
2. В главном меню введите в строке ввода номер команды "Настройки безо-
пасности" и нажмите клавишу <Enter>.
На экране появится меню "Настройки безопасности".
Внимание! Состав меню и доступность функций зависит от типа установленных на аппаратной
платформе программных компонентов.Ниже представлено стандартное меню "Настройки безо-
пасности" КШ с ЦУС. Особенности криптографических операций на КК и СД рассмотрены в [6].
1: Регистрация нового администратора
2: Ограничение управления
3: Обновление исходной ключевой информации
4: Смена ключей КШ
5: Загрузка ключей с носителя (функция недоступна)
6: Удаление криптографической информации
7: Включение привязки маршрутизаторов к MAC адресам
8: Ограничение числа соединений с одного IP-адреса
9: Очистка журналов ЦУС
10: Настройка параметров локальной сигнализации НСД
11: Разрешение прохождения пакетов с IP-опциями
12: Включение программного контроля целостности
0: Выход
Выберите пункт меню (0 - 12):
3. Введите номер нужной команды и нажмите клавишу <Enter>.
Описание процедур приводится в последующих разделах.
4. Для возврата к главному меню введите в строке ввода номер команды "Вы-
ход" и нажмите клавишу <Enter>.

Регистрация нового администратора


Имеется возможность локальными средствами управления создать на ЦУС новую
учетную запись администратора.
Внимание! При создании идентификатора администратора исходная ключевая информация от
уполномоченной организации не используется. Рекомендуется этим способом создавать только
временный ключ, который затем средствами ПУ ЦУС заменить на постоянный.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 21
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

В качестве идентификатора администратора комплекса могут использоваться


USB-флеш-накопители.
Приготовьте носитель заранее. При записи административного ключа ранее за-
писанные на носитель ключи будут удалены без предупреждения.
После создания учетной записи локальными средствами управления в списке
администраторов (см. стр. 42 ) появится новая запись "Добавленный с консоли
администратор".

Для регистрации администратора:


1. Перейдите к меню настройки безопасности (см. стр. 21).
2. Введите в строке ввода номер команды "Регистрация нового администратора"
и нажмите клавишу <Enter>. На экране появится сообщение:
Введите пароль ключа администратора ЦУС
3. Введите пароль и нажмите клавишу <Enter>.
Примечание. Длина и сложность пароля задаются политикой аутентификации админи-
страторов (см. стр. 42 ). По умолчанию длина пароля не менее 4 символов. Разрешено исполь-
зование любых символов, кроме кириллицы.
Запомните пароль. Этот пароль будет использован для шифрования адми-
нистративного ключа и в дальнейшем понадобится для подключения прог-
раммы управления к ЦУС.
На экране появится сообщение:
Повторите пароль
4. Введите пароль повторно и нажмите клавишу <Enter>.
На экране появится сообщение:
Вставьте носитель для записи ключа администратора ЦУС и
нажмите Enter
5. Предъявите носитель и нажмите клавишу <Enter>.
После успешной записи информации на экране появится меню настройки
безопасности.
6. Перейдите к настройке следующего параметра или выйдите из меню.

Ограничение управления ЦУС и СД


Предусмотрено ограничение управления центром управления сетью и сервером
доступа со стороны ПУ ЦУС и ПУ СД соответственно. Ограничение заключается в
следующем: в настройках безопасности КШ с ЦУС или КШ с СД можно разрешить
управление только через определенный внешний интерфейс (или интерфейсы)
КШ или с определенного IP-адреса (или IP-адресов). Подключение к ЦУС или СД
через другие внешние интерфейсы КШ или с других IP-адресов в этом случае бу-
дет запрещено.
Если в разрешениях указаны интерфейс и IP-адрес, подключение доступно че-
рез указанный интерфейс с любого IP-адреса или с указанного IP-адреса через
любой интерфейс.
Если на КШ установлены ЦУС и СД, ограничение действует и для ЦУС, и для СД.

Для включения режима ограничения управления с интерфейса:


1. Перейдите к меню настройки безопасности (см. стр. 21).
2. Введите в строке ввода номер команды ограничения управления и нажмите
клавишу <Enter>.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 22
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

На экране появится меню:


1: Вывести список разрешений управления
2: Добавить разрешения управления
3: Очистить список разрешений управления
0: Выход
Выберите пункт меню (0-3):
3. Введите в строке ввода номер команды "Добавить разрешения управления" и
нажмите клавишу <Enter>.
На экране появится меню настройки разрешения управления:
1: Добавить разрешение управления с интерфейса
2: Добавить разрешение управления с IP-адреса
0: Выход
Выберите пункт меню (0-2):
4. Введите в строке ввода номер команды "Добавить разрешение управления с
интерфейса" и нажмите клавишу <Enter>.
На экране появится сообщение:
Доступные интерфейсы: <перечень интерфейсов>
Введите название интерфейса, с которого будет разрешено
управление:
5. Введите наименование нужного интерфейса из предложенного перечня и
нажмите клавишу <Enter>.
На экране появится сообщение:
Добавлено разрешение управления с интерфейса <наименование
интерфейса>
Затем на экране появится меню настройки разрешения управления.
6. Перейдите к настройке следующего параметра или выйдите из меню.

Для включения режима ограничения управления с IP-адреса:


1. Перейдите к меню настройки безопасности (см. стр. 21).
2. Введите в строке ввода номер команды ограничения управления и нажмите
клавишу <Enter>.
На экране появится меню ограничения управления.
3. Введите в строке ввода номер команды "Добавить разрешения управления" и
нажмите клавишу <Enter>.
На экране появится меню настройки разрешения управления.
4. Введите в строке ввода номер команды "Добавить разрешение управления с
IP-адреса" и нажмите клавишу <Enter>.
На экране появится сообщение:
Введите IP-адрес, с которого будет разрешено управление>
5. Введите IP-адрес или адрес подсети с указанием префикса маски и нажмите
клавишу <Enter>.
На экране появится сообщение:
Продолжить? (Y/N)
6. Для ввода другого IP- адреса введите "n", нажмите клавишу <Enter> и
перейдите к п. 5.
7. Для продолжения работы введите "y" и нажмите клавишу <Enter>.
На экране появится сообщение:
Добавлено разрешение управления с IP-адреса <адрес>
Затем на экране появится меню настройки разрешения управления.
8. Перейдите к настройке следующего параметра или выйдите из меню.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 23
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Для просмотра списка разрешений:


1. Перейдите к меню настройки безопасности (см. стр. 21).
2. Введите в строке ввода номер команды ограничения управления и нажмите
клавишу <Enter>.
На экране появится меню ограничения управления.
3. Введите в строке ввода номер команды "Вывести список разрешений управ-
ления" и нажмите клавишу <Enter>.
На экране появится список с разрешенными источниками управления.
4. После просмотра списка введите в строке ввода номер нужной команды.

Для отключения режима ограничения:


1. Перейдите к меню настройки безопасности (см. стр. 21).
2. Введите в строке ввода номер команды ограничения управления и нажмите
клавишу <Enter>.
На экране появится меню ограничения управления.
3. Введите в строке ввода номер команды "Очистить список разрешений управ-
ления" и нажмите клавишу <Enter>.
На экране появится меню настройки безопасности.
4. Перейдите к настройке следующего параметра или выйдите из меню.

Обновление исходной ключевой информации


Данная процедура предоставляет возможность, используя локальную консоль,
обновить исходную ключевую информацию на ЦУС в случае ее плановой замены
или компрометации.
Исходная ключевая информация может считываться с носителей следующих ти-
пов:
• USB-флеш-накопитель;
• CD-диск (ключевой блокнот РДП-006);
• ДСЧ платы "Соболь".
Для выполнения процедуры необходимо заранее получить отчуждаемый но-
ситель с новой исходной ключевой информацией.

Для обновления ключевой информации:


1. Перейдите к меню настройки безопасности КШ с ЦУС (см. стр. 21).
2. Введите в строке ввода номер команды "Обновление исходной ключевой
информации" и нажмите клавишу <Enter>.
На экране появится запрос:
Использовать внешний носитель для инициализации? (Y/N)
3. Введите "Y" и нажмите клавишу <Enter>.
4. Если требуется использовать ДСЧ платы "Соболь", введите "N" и нажмите
клавишу <Enter>.
Начнется обновление ключевой информации и после его завершения поя-
вится соответствующее сообщение (см. п. 4). Перейдите к п. 5.
Если требуется использовать внешний носитель, введите "Y" и нажмите кла-
вишу <Enter>.
На экране появится сообщение:
Вставьте носитель с исходной ключевой информацией и
нажмите Enter
5. Предъявите носитель с исходной ключевой информацией и нажмите кла-
вишу <Enter>.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 24
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Пояснение. Файл, содержащий новый исходный ключевой материал, копируется на USB-


флеш-накопитель до начала процедуры обновления. Если это условие не выполнено, про-
должение процедуры обновления невозможно. Извлеките носитель из считывателя, скопируйте
на него новый исходный ключевой материал, вставьте носитель в считыватель и повторно наж-
мите клавишу <Enter>. Если чтение информации не выполняется, повторите процедуру обнов-
ления ключевой информации заново.
Если носитель не предъявлен, на нем отсутствуют нужные файлы или файлы
повреждены, на экране появится сообщение об ошибке.
После успешного считывания информации на экране появится сообщение:
Ключевая информация обновлена
Затем на экране появится текущее меню.
6. Перейдите к настройке другого параметра или выйдите из меню.

Смена ключей на КШ с ЦУС


Данная процедура позволяет выполнить на КШ с ЦУС смену главного ключа и
ключа связи с ЦУС.
Внимание! После смены ключей на КШ с ЦУС необходимо заново сформировать список связанных
КШ. Список формируется средствами централизованного управления в ПУ ЦУС (см. стр. 77).

Для смены ключей на КШ с ЦУС:


1. Перейдите к меню настройки безопасности (см. стр. 21).
2. Введите в строке ввода номер команды "Смена ключей КШ" и нажмите кла-
вишу <Enter>.
Будет выполнена смена ключей, и на экране появится сообщение об успеш-
но выполненной операции.
3. Перейдите к настройке другого параметра или выйдите из меню настройки
безопасности.

Загрузка ключей
Данную процедуру выполняют для загрузки ключа. Ключ представляет собой па-
ру: главный ключ КШ и ключ связи с ЦУС.
Процедура загрузки ключа выполняется индивидуально для каждого сетевого
устройства независимо от используемой схемы распределения ключей (базовой
или усиленной).

Для загрузки ключа на сетевое устройство:


1. Перейдите к меню настройки безопасности (см. стр. 21).
2. Введите в строке ввода номер команды "Загрузка ключей с носителя" и наж-
мите клавишу <Enter>.
На экране появится меню загрузки ключа.
3. Введите номер варианта "Загрузить активный ключ" и нажмите клавишу
<Enter>.
На экране появится сообщение, подобное следующему:
Уже имеется активный ключ, установленный на КШ. Заменить?
(Y/N):
4. Введите "Y" и нажмите клавишу <Enter>.
Примечание. Если в ходе эксплуатации комплекса на сетевое устройство были присланы клю-
чи с ЦУС, то будет предложено их использование. Для их использования предъявите ключевой
носитель сетевого устройства, введите "Y" и нажмите клавишу <Enter> .
На экране появится сообщение о необходимости предъявления носителя с
ключами.
5. Предъявите носитель с ключами и нажмите клавишу <Enter>.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 25
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

В зависимости от предъявленного носителя появится запрос на ввод PIN-кода


пользователя (для Рутокен) или пароля (для USB-флеш-накопителя).
6. Введите PIN-код пользователя или пароль, заданный при сохранении ключа
на USB-флеш-накопитель, и нажмите клавишу <Enter>.
Примечание. Если носитель не предъявлен, на нем отсутствуют нужные файлы или файлы по-
вреждены, на экране появится сообщение об ошибке.
При успешном чтении информации с носителя на экране появится сооб-
щение об обнаруженном комплекте ключей.
7. Введите "1" и нажмите клавишу <Enter>.
• Если носителем является USB-флеш-накопитель, начнется загрузка клю-
ча.
• Если носителем является Рутокен, появится список ключей, входящих в
комплект.
Введите номер пункта, соответствующего загружаемому ключу, и наж-
мите клавишу <Enter>.
Начнется загрузка ключа.
После успешной загрузки появится сообщение:
Ключ установлен как активный
На экране появится меню "Настройки безопасности".

Удаление криптографической информации


Для сетевого устройства имеется возможность экстренного удаления ключевой
информации и файлов конфигурации. Содержимое удаленных файлов конфи-
гурации автоматически затирается на жестком диске сетевого устройства. После
удаления требуется повторная инициализация сетевого устройства.

Для удаления криптографической информации:


1. Перейдите к меню настройки безопасности (см. стр. 21).
2. Введите в строке ввода номер команды "Удаление криптографической инфор-
мации" и нажмите клавишу <Enter>.
На экране появится сообщение, содержание которого зависит от установ-
ленного или не установленного на сетевом устройстве ПО ЦУС.
ВНИМАНИЕ! После этой операции понадобится повторная
<загрузка конфигурации>/<инициализация ЦУС>!
Продолжить? (Y/N):
3. Наберите "y" и нажмите клавишу <Enter>.
• Для сетевого устройства на экране появится сообщение:
Вставьте носитель с конфигурацией и нажмите Enter
Перейдите к выполнению п. 5 процедуры инициализации сетевого
устройства (см. [2]).
• Для КШ с ЦУС перейдите к выполнению п. 7 процедуры инициализации
КШ с ЦУС (см. [2]).
Примечание. Если требуется отложить инициализацию, выключите компьютер.

Привязка аппаратных адресов маршрутизаторов


Данная функция позволяет запретить на сетевом устройстве действие протокола
ARP и осуществлять маршрутизацию по MAC-адресам маршрутизаторов. Такой
подход обеспечивает защиту от сетевых атак типа ARP-spoofing.
При использовании этой функции в случае замены маршрутизатора (сетевых
карт узлов, выполняющих функции маршрутизатора) необходимо выполнить
принудительное обновление зафиксированных в конфигурации сетевого устрой-
ства аппаратных адресов.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 26
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Примечание. После включения привязки команда меню "Настроить динамическую маршрутизацию"


становится недоступной.

Включение контроля аппаратных адресов


Для фиксации аппаратных адресов:
1. Перейдите к меню настройки безопасности (см. стр. 21).
2. Введите в строке ввода номер команды "Включение привязки марш-
рутизаторов к MAC-адресам" и нажмите клавишу <Enter>.
На экране появится сообщение:
Маршрутизатор: <IP-адрес маршрутизатора по умолчанию> МАС:
не установлен (определится динамически)
MAC-адрес привязки маршрутизатора будет определен
автоматически. Хотите ввести его вручную? (Y/N)
3. Введите в строке ввода "y" и нажмите клавишу <Enter>.
Примечание. Если ввести "n", MAC-адрес маршрутизатора будет определен автоматически.
На экране появится сообщение:
Введите MAC-адрес:
4. Введите MAC- адрес в формате FF:FF:FF:FF:FF:FF и нажмите клавишу
<Enter>.
Примечание. При использовании нескольких маршрутизаторов повторите выполнение пп. 3–
4 для каждого маршрутизатора.
На экране появится сообщение:
ARP кэш сохранен
Затем на экране появится меню настройки безопасности. Команда меню
"Включить привязку маршрутизаторов к MAC-адресам" будет заменена на ко-
манду "Отключить привязку маршрутизаторов или обновить их адреса".
5. Перейдите к настройке следующего параметра или выйдите из меню.

Обновление аппаратных адресов маршрутизаторов


Для обновления аппаратных адресов маршрутизаторов:
1. Перейдите к меню настройки безопасности (см. стр. 21).
2. Введите в строке ввода номер команды "Отключить привязку марш-
рутизаторов или обновить их адреса" и нажмите клавишу <Enter>.
На экране появится меню настройки привязки:
1. Обновить MAC адреса маршрутизаторов
2. Отключить привязку МАС адресов маршрутизаторов
0. Выход
Выберите пункт меню (0–2):
3. Введите в строке ввода номер команды "Обновить MAC- адреса марш-
рутизаторов" и нажмите клавишу <Enter>.
На экране появится сообщение:
Маршрутизатор: <IP-адрес маршрутизатора по умолчанию> МАС:
<MAC-адрес>
MAC-адрес привязки маршрутизатора будет определен
автоматически. Хотите ввести его вручную? (Y/N)
4. Введите в строке ввода "y" и нажмите клавишу <Enter>.
На экране появится сообщение:
Введите MAC-адрес:
5. Введите MAC- адрес в формате FF:FF:FF:FF:FF:FF и нажмите клавишу
<Enter>.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 27
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Примечание. При использовании нескольких маршрутизаторов повторите выполнение пп. 4–5


для каждого маршрутизатора.
На экране появится сообщение:
ARP кэш сохранен
Затем на экране появится меню настройки привязки.
6. Введите в строке ввода "0" и нажмите клавишу <Enter>.
На экране появится меню настройки безопасности.
7. Перейдите к настройке следующего параметра или выйдите из меню.

Отключение фиксации аппаратных адресов маршрутизаторов


Для отключения фиксации аппаратных адресов маршрутизаторов:
1. Перейдите к меню настройки безопасности (см. стр. 21).
2. Введите в строке ввода номер команды "Отключить привязку марш-
рутизаторов или обновить их адреса" и нажмите клавишу <Enter>.
На экране появится меню:
1. Обновить MAC адреса маршрутизаторов
2. Отключить привязку МАС адресов маршрутизаторов
0. Выход
Выберите пункт меню (0–2):
3. Введите в строке ввода номер команды "Отключить привязку МАС-адресов" и
нажмите клавишу <Enter>.
На экране появится сообщение:
Привязка отключена
Затем на экране появится меню настройки привязки.
4. Введите в строке ввода "0" и нажмите клавишу <Enter>.
На экране появится меню настройки безопасности. Команда меню "От-
ключить привязку маршрутизаторов или обновить их адреса" будет заменена
на команду "Включить привязку маршрутизаторов к MAC-адресам".
5. Перейдите к настройке следующего параметра или выйдите из меню.

Ограничение числа соединений


Данная процедура предоставляет возможность ограничить число соединений с
одного IP-адреса.
Ограничение числа соединений выполняется для тех правил фильтрации, у ко-
торых отмечен параметр "Контролировать состояние соединения" (см. [3]).

Для ограничения числа соединений:


1. Перейдите к меню настройки безопасности (см. стр. 21).
2. Введите в строке ввода номер команды "Ограничение числа соединений с од-
ного IP-адреса" и нажмите клавишу <Enter>.
На экране появится сообщение:
Максимальное количество соединений (0 — без ограничений)
3. Введите нужное число и нажмите клавишу <Enter>.
Примечание. Для открытого трафика учет соединений ведется как по внутреннему, так и по
внешнему интерфейсу. В этом случае реальное максимальное количество соединений будет
ограничено половиной введенного числа (с округлением в меньшую сторону). Для получения
нужного результата введите удвоенное число.
На экране появится меню настройки безопасности.
4. Перейдите к настройке следующего параметра или выйдите из меню.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 28
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Очистка журналов ЦУС


Данная процедура позволяет очистить журналы ЦУС и выполняется на ЦУС.
Внимание! Журналы, которые не были переданы агенту ЦУС, будут утрачены.

Для очистки журналов ЦУС:


1. Перейдите к меню настройки безопасности (см. стр. 21).
2. Введите в строке ввода номер команды "Очистка журналов ЦУС" и нажмите
клавишу <Enter>.
На экране появится запрос:
Продолжить? (Y/N)
3. Введите "Y" и нажмите клавишу <Enter>.
На экране появится сообщение:
Журналы очищены
Затем на экране появится меню настройки безопасности.
4. Перейдите к настройке следующего параметра или выйдите из меню.

Настройка параметров локальной сигнализации о НСД


Предусмотрено включение и отключение вывода сообщений о НСД. Сообщения
могут выводиться на экран монитора, подключенного к сетевому устройству, и
воспроизводиться в виде звукового сигнала.

Для настройки параметров сигнализации:


1. Перейдите к меню настройки безопасности (см. стр. 21).
2. Введите в строке ввода номер команды "Настройка параметров локальной сиг-
нализации НСД" и нажмите клавишу <Enter>.
Если сигнализация отключена, на экране появится меню:
1. Включить вывод на консоль сообщений о НСД (не чаще раза
в минуту)
2. Включить вывод звуковых сообщений о НСД (не чаще раза в
минуту)
0. Выход
Выберите пункт меню (0-2):
Если сигнализация включена, соответствующая команда в меню будет иметь
вид "Выключить…".
3. Выберите команду, введите в строке ввода ее номер и нажмите клавишу
<Enter>.
Содержание выбранной команды в меню изменится на противоположное.
4. При необходимости повторите предыдущее действие для другой команды.
5. Для завершения настройки выйдите из меню.

Режим прохождения пакетов с IP-опциями


Некоторые среды (например ОС МСВС) используют поле IP-опций в заголовке IP-
пакета в обязательном порядке. Для функционирования комплекса в таких сре-
дах предусмотрен режим прохождения пакетов с IP-опциями. По умолчанию этот
режим выключен.

Для включения режима:


1. Перейдите к меню настройки безопасности (см. стр. 21).
2. Введите в строке ввода номер команды "Разрешение прохождения пакетов с
IP-опциями" и нажмите клавишу <Enter>.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 29
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

На экране появится сообщение:


Прохождение пакетов с IP опциями разрешено
Затем на экране появится меню настройки безопасности, в котором содер-
жание команды настройки режима прохождения пакетов с IP-опциями из-
менится на противоположное.
3. Перейдите к настройке следующего параметра или выйдите из меню.

Для выключения режима:


1. Перейдите к меню настройки безопасности (см. стр. 21).
2. Введите в строке ввода номер команды "Запрет прохождения пакетов с IP-оп-
циями" и нажмите клавишу <Enter>.
На экране появится сообщение:
Прохождение пакетов с IP опциями запрещено
Затем на экране появится меню настройки безопасности, в котором содер-
жание команды настройки режима прохождения пакетов с IP-опциями из-
менится на противоположное.
3. Перейдите к настройке следующего параметра или выйдите из меню.

Управление режимом контроля целостности


Режим контроля целостности служит для проверки контрольных сумм файлов ПО
сетевого устройства. Проверка контрольных сумм автоматически выполняется
при запуске сетевого устройства, а также во время его работы с периодичностью,
указанной в программе управления ЦУС (см. стр. 54).

Для включения/выключения режима:


1. Перейдите к меню настройки безопасности (см. стр. 21).
2. Введите в строке ввода номер команды "Включение/ отключение програм-
много контроля целостности" и нажмите клавишу <Enter>.
На экране появится меню настройки безопасности.
3. Перейдите к настройке следующего параметра или выйдите из меню.

Дополнительные возможности
Команды дополнительного меню
Для использования дополнительного меню к системному блоку сетевого устрой-
ства заранее должны быть подключены клавиатура и монитор.

Для перехода к дополнительному меню:


1. У сетевого устройства в рабочем режиме нажмите комбинацию клавиш
<ALT+F2>.
На экране появится запрос на предъявление персонального идентификатора
администратора.
2. Предъявите персональный идентификатор и при необходимости введите па-
роль.
Количество неудачных попыток предъявления персонального иден-
тификатора и время блокировки задаются политикой аутентификации
администраторов (см. стр. 42).
На экране появится дополнительное меню (см. Табл.1).
3. Введите номер команды и нажмите клавишу <Enter>.
Выполняйте указания, отображаемые на экране.
4. Для выхода из дополнительного меню нажмите комбинацию клавиш
<ALT+F1>.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 30
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Табл.1 Команды дополнительного меню

Команда Описание

Сведения об Отображает на экране следующие сведения:


устройстве • тип аппаратной платформы;
• версия, контрольная сумма и конфигурация ПО;
• идентификатор СУ;
• статус мягкого режима (вкл/выкл);
• ввод в эксплуатацию (да/нет).
Если устройство входит в состав кластера, отображается статус –
основной/резервный.
Дополнительные сведения для ЦУС:
• режим работы ЦУС в кластере (активный/пассивный);
• дата и время последнего изменения БД ЦУС

Вывести список Отображает на экране список авторизованных пользователей.


авторизованных Список содержит IP-адреса авторизованных пользователей и
пользователей время их подключения

Список правил Отображает на экране список всех правил фильтрации с


фильтрации возможностью сохранения информации в файл и экспорта его на
внешний носитель информации

Список правил NAT Отображает на экране список всех правил NAT с возможностью
сохранения информации в файл и экспорта его на внешний
носитель информации

Вывести полный Отображает на экране список всех интерфейсов с возможностью


список интерфейсов сохранения информации в файл и экспорта его на внешний
носитель информации

Вывести таблицы Отображает на экране таблицы маршрутизации для протоколов


маршрутизации IPv4 и IPv6 с возможностью сохранения информации в файл и
экспорта его на внешний носитель информации

Просмотр таблицы Отображает на экране количество установленных соединений с


состояний (keep- возможностью раздельного просмотра сессий IPv4 и IPv6. При про-
state) смотре сессий могут быть использованы фильтр и функция поиска

Диагностика Выводит на экран меню команд диагностики (см. Табл.2)

Перезагрузить Запускает перезагрузку сетевого устройства

Выключить Выключает электропитание сетевого устройства

Выход Закрывает дополнительное меню

Табл.2 Команды меню "Диагностика"

Команда Описание

Загруженность ЦП Отображает на экране информацию о загруженности каждого


процессора

Использование Отображает на экране общий, используемый и свободный объем


памяти оперативной памяти

Использование Отображает на экране общий объем жесткого диска, а также


жесткого диска объем используемого и свободного пространства

Выполнить ping* Запускает на компьютере команду ping и отображает на экране


результаты выполнения этой команды. Укажите IP-адрес,
соединение с которым необходимо проверить

Выполнить Запускает на компьютере команду traceroute и отображает на


traceroute* экране результаты выполнения этой команды. Укажите IP-адрес,
маршрут к которому требуется определить

Выполнить arp/ndp Отображает на экране содержимое ARP- и NDP-кеша с


возможностью сохранения результатов в файл и экспорта его на
внешний носитель информации

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 31
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Команда Описание

Сведения о сетевых Отображает на экране сведения об открытых сетевых соединениях


соединениях с возможностью сохранения информации в файл и экспорта его
на внешний носитель информации

Сведения о работе Статистическая информация о работе шифратора с возможностью


шифратора ее сохранения в файл и экспорта его на внешний носитель
информации

Просмотр дампа Отображает на экране информацию о сетевом трафике.


сетевого трафика Для запуска команды задайте имя тестируемого интерфейса,
фильтр в формате команды tcpdump и количество пакетов для
просмотра. Есть возможность сохранения результатов в файл и
экспорта его на внешний носитель информации.
Для сетевого устройства, выведенного из эксплуатации,
предусмотрено сохранение информации в двоичном коде для
последующего просмотра в специализированном приложении

Сведения о Отображает на экране максимальные и текущие объемы журналов


состоянии журналов

Сохранить Записывает конфигурационные файлы на отчуждаемый носитель


конфигурацию и
журналы событий
динамической
маршрутизации**

Сохранить тех- Выгружает на отчуждаемый носитель технологический отчет для


нологическую инфор- отправки в службу поддержки. Файл отчета получит имя debug_
мацию report_DDMMYYYY_HHMMSS.dump, где DDMMYYYY_HHMMSS -
дата и время его создания

Сохранить отла- Выгрузка информации системных журналов на USB-флеш-нако-


дочные журналы питель в файл syslog

Командная строка Переход в режим командной строки (Continent Shell). Выход по


команде exit

Выход Закрывает меню "Диагностика"

• *Для выполнения команд ping и traceroute на КШ автоматически создаются временные правила


фильтрации, разрешающие прохождение соответствующих пакетов.
• **Для сохранения журналов событий в конфигурационном файле для используемых протоколов
маршрутизации должна быть включена функция логирования (Log stdout) и указан путь к файлу
журнала. Например, для протокола BGP: log file /var/bgpd.log.

Автоматическое выключение питания сетевого устройства


В АПКШ "Континент" предусмотрено корректное выключение сетевого устрой-
ства в автоматическом режиме при работе с источниками бесперебойного пи-
тания (ИБП) в случае отключения питания и оставшегося заряда батареи менее
30 %. Поддерживаются модели ИБП APC Smart-UPS 1000 и APS BackUPS ES 525.

Для использования функции автовыключения:


1. Подсоедините управляющий порт ИБП к USB-разъему сетевого устройства с
помощью интерфейсного кабеля, входящего в комплект ИБП.
Примечание. Подключение управляющего порта ИБП к USB-разъему необходимо выполнять
при выключенном сетевом устройстве.
2. Выполните необходимые настройки в соответствии с эксплуатационной
документацией фирмы – изготовителя ИБП.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 32
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Глава 2
Программа управления ЦУС
Централизованное управление сетевыми устройствами осуществляется с по-
мощью программы управления, устанавливаемой на одном или нескольких
компьютерах, находящихся в защищенном сегменте сети (РМ администратора).
Программа управления устанавливает защищенное соединение с ЦУС и поз-
воляет в диалоговом режиме контролировать все сетевые устройства, а также ре-
дактировать данные, содержащиеся в базе данных ЦУС. Работа программы
управления возможна только при предъявлении идентификатора админи-
стратора комплекса.
Внимание! Для корректной работы с ключевыми носителями Рутокен, Рутокен ЭЦП в настройках
Windows необходимо запустить системную службу "Смарт-карты", предварительно установив тип
запуска – "Авто".

Запуск программы
При запуске ПУ ЦУС осуществляется аутентификация администратора. Аутенти-
фикация выполняется в соответствии с политикой, заданной по умолчанию или
измененной главным администратором комплекса (настройка параметров по-
литики аутентификации приводится на стр. 42).

Для запуска программы управления:


1. Активируйте на рабочем столе ярлык программы управления ЦУС или наж-
мите на панели задач кнопку "Пуск" и активируйте в главном меню Windows
команду "Программы> Код Безопасности> Континент 3.9> Программа
управления ЦУС (ПУ ЦУС)".
На экране появится запрос идентификатора администратора.
2. Предъявите идентификатор администратора.
На экране появится запрос пароля для расшифровки ключей админи-
стратора.
3. Введите пароль и нажмите кнопку "OK".
При успешном чтении служебной информации с идентификатора программа
управления установит защищенное соединение с ЦУС и агентом, загрузит
данные, необходимые для ее работы, и отобразит на экране главное окно
(см. стр. 33).
Если носитель испорчен или не содержит административного ключа, со-
единение с ЦУС установлено не будет и на экране появится сообщение об
ошибке. В этом случае закройте окно сообщения и повторите процедуру
запуска с надлежащим носителем.
Совет. Если при установлении соединения произошел сбой и на экран выведено сообщение о
невозможности соединения с ЦУС, проверьте работоспособность ЦУС и повторите попытку
соединения с ним еще раз. Сообщение об ошибке может содержать техническую информацию
для разработчиков. При обращении в службу технической поддержки необходимо представить
снимок экрана с сообщением или полный текст сообщения, включая техническую информацию.

Интерфейс программы
Главное окно
После того как соединение программы управления с ЦУС успешно установлено и
необходимые данные из базы данных ЦУС загружены, на экране появится глав-
ное окно программы управления.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 33
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

В главном окне отображаются характеристики зарегистрированных объектов, а


также сведения об их текущем состоянии.
В верхней части главного окна на модульной ленте расположена панель инстру-
ментов. Она представляет собой набор функциональных кнопок, пред-
назначенных для вызова часто выполняемых задач. Статус "доступности" и тип
кнопок изменяется в зависимости от ситуации (активный раздел меню, наличие
элементов, права пользователя и т. п.), в которой в данный момент ведется ра-
бота. Каждая кнопка имеет название на русском языке, поясняющее ее функ-
ционал. При наведении курсора мыши на кнопку появится всплывающая
подсказка, содержащая дополнительную информацию о выполняемой команде.
В левом верхнем углу панели управления расположена кнопка вызова меню
управления. В нем присутствуют команды управления соединением с ЦУС, рабо-
ты с журналами, настройки текущего соединения с ЦУС и общая информация о
версии ПУ ЦУС.

Выбор отображаемой в главном окне информации осуществляется в области


объектов управления. По умолчанию область объектов расположена в левой ча-
сти главного окна. В ней отображается иерархический список объектов, часть ко-
торых сгруппирована по тематическим разделам. Список объектов управления
ЦУС представлен в Табл.3. Также в отдельные разделы выделены сетевые устрой-
ства Континент (см. стр. 47), отчеты (см. [5]) и внешние криптографические се-
ти (см. [4]).
В правой части главного окна ПУ ЦУС расположена область отображения инфор-
мации активного объекта управления. Данная область может содержать как

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 34
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

совокупность структурированных данных, представляемых в виде списков, та-


блиц и графиков, так и различные функциональные элементы (дополнительные
кнопки, активные поля и т. п.). Табличные данные часто имеют свое
контекстное меню, вызываемое щелчком правой кнопки мыши, часть команд
которого дублирует команды панели инструментов. Для сортировки отоб-
ражаемой информации по возрастанию/убыванию одного из параметров наж-
мите на соответствующий заголовок столбца. Двойной щелчок левой кнопки
мыши обычно приводит к вызову свойств элемента, аналогично нажатию кноп-
ки "Свойства" на панели инструментов.
Сведения о некоторых выбранных объектах отображаются на вкладках до-
полнительного окна. По умолчанию дополнительное окно расположено в ниж-
ней части области отображения информации.
Примечание. Некоторые активные вкладки дополнительного окна создают дополнительные вклад-
ки на панели инструментов, на которых расположены наборы соответствующих функциональных
кнопок, предназначенных для вызова часто выполняемых задач.

Управление объектами осуществляют с помощью кнопок панели инструментов, а


также команд контекстного меню.
Внизу главного окна расположена строка состояния, в которой можно в реальном
времени посмотреть количество случаев НСД, проблемных кластеров и сетевых
устройств Континент.

Табл.3 Объекты раздела "Центр управления сетью"

Объект Описание

Сетевые объекты Содержат списки соответствующих элементов правил фильтрации IP-


пакетов и трансляции сетевых адресов (см. [3])
Группы сетевых
объектов

Сервисы

Временные
интервалы

Пользователи Перечень зарегистрированных пользователей и групп пользователей.


Группы пользователей используют в правилах фильтрации IP-пакетов
и трансляции сетевых адресов для более тонкой настройки доступа
сотрудников к ресурсам

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 35
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Объект Описание

Классы трафика Справочник классов трафика (используются для гибкого управления


трафиком)

Реакции на Перечень автоматических реакций агента ЦУС и СД на события


события

Профили уси- Список профилей, используемых для дополнительной фильтрации


ленной фильт- трафика на уровне прикладных протоколов (см. [3])
рации

Профили
контроля при-
ложений

Сертификаты Перечень собственных сертификатов открытых


ключей, зарегистрированных в комплексе. Эти сертификаты
предназначены для установления защищенного соединения с
внешними криптографическими сетями

Правила Перечень всех правил фильтрации IP-пакетов, установленных


фильтрации администратором (см. [3])

База решающих Список групп загруженных в БД ЦУС решающих правил


правил

Виртуальные Список виртуальных коммутаторов, используемых для управления


коммутаторы криптографической коммутируемой сетью (см. [4])

Администраторы Перечень учетных записей администраторов комплекса (см. стр. 42)

Настройка интерфейса
Настройка интерфейса программы управления ЦУС осуществляется с помощью
технологии drag- and- drop, кнопок управления областями и вкладками до-
полнительного окна. Часть этих функций представлена в виде кнопок на вклад-
ке "Вид" панели инструментов.
В правом верхнем углу области объектов управления и вкладок дополнительного
окна находятся кнопки управления, с помощью которых можно настроить их
отображение:

Кнопка/
Описание действия
команда меню

Вызов меню управления

Плавающий Отображение в виде дополнительного окна Windows, которое можно


переместить или изменить размеры стандартными средствами. Для
управления окном также используется контекстное меню заголовка
окна, дублирующее стандартное меню управления. Быстрый переход
в припаркованный режим осуществляется двойным щелчком мыши по
заголовку окна

Припаркованный Отображение в определенной части области отображения инфор-


мации (вверху, внизу или по бокам). Этот вариант используется по
умолчанию

или Скрыть Активная вкладка или область перестает отображаться до смены


объекта управления ЦУС

Местоположение границ областей и вкладок можно изменять с помощью мыши.


Область объектов управления и каждую вкладку дополнительного окна можно
переместить в отдельную область (припаркованный режим) или окно (пла-
вающий режим), используя технологию drag-and-drop. Контактными зонами яв-
ляются заголовок области и название вкладки. При перемещении на экране
отображаются дополнительные кнопки автоматической пристыковки к нижней,
верхней или боковой стороне области отображения информации.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 36
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Примечание. Местоположение обособленных вкладок сохраняется для каждого типа объектов


управления.

Для перевода в припаркованный режим по технологии drag-and-drop:


• Наведите курсор мыши на контактную зону вкладки, области или окна и наж-
мите левую кнопку мыши. Не отпуская кнопку, осуществите перенос в тре-
буемой кнопке автоматической пристыковки. Отпустите кнопку мыши.

Для перевода в плавающий режим по технологии drag-and-drop:


• Наведите курсор мыши на контактную зону вкладки, области или окна и наж-
мите левую кнопку мыши. Не отпуская кнопку, осуществите перенос в тре-
буемое место экрана. Отпустите кнопку мыши.

Для возврата обособленной вкладки в дополнительное окно:


• Наведите курсор мыши на контактную зону вкладки и нажмите левую кнопку
мыши. Не отпуская кнопку, осуществите перенос к значку в центре до-
полнительного окна. Отпустите кнопку мыши.

Для возврата к первоначальным настройкам:


• Нажмите кнопку "Восстановить представления по умолчанию" на вкладке
"Вид" панели инструментов, затем нажмите кнопку "Да" на появившемся ок-
не подтверждения. Осуществите перезапуск программы управления ЦУС.

Для быстрого вызова области объектов управления:


• Перейдите на вкладку "Вид" панели инструментов и нажмите кнопку "Объ-
екты управления".

Для быстрого перехода к вкладке:


• Перейдите на вкладку "Вид" панели инструментов и нажмите кнопку выбора
вкладки. Установите отметку в соответствующем поле.

Управление таблицами
Сведения о выбранном объекте управления обычно представлены в области отоб-
ражения информации в табличном виде. Программа управления снабжена удоб-
ным инструментарием для работы с таблицами:
• поиск нужной записи;
• отбор (фильтрация);
• сортировка записей;
• перемещение столбцов;
• выбор отображаемых полей.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 37
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Для поиска нужной записи:


1. Нажмите на панели инструментов кнопку "Найти" или вызовите в любой ча-
сти таблицы контекстное меню и активируйте команду "Поиск…".
На экране появится окно "Поиск".

2. В полях окна укажите условия поиска.


3. Для поиска нужных записей нажмите одну из кнопок:
• "Найти следующее" — для поиска очередной записи, удовлетворяющей
заданным условиям;
• "Пометить все" — для выделения всех записей, удовлетворяющих за-
данным условиям.
4. Нажмите кнопку "Закрыть" после завершения процедуры поиска.

Для фильтрации записей:


1. Нажмите на панели инструментов кнопку "Фильтр" или вызовите в любой ча-
сти таблицы контекстное меню и активируйте команду "Фильтрация
списка…".
На экране появится окно "Фильтрация".

2. Определите критерии отбора.


3. Нажмите кнопку "OK" для выполнения фильтрации.
Окно закроется, а в таблице будут отображены только те записи, которые
удовлетворяют заданным условиям отбора.
4. Для отключения фильтрации нажмите на панели инструментов кнопку "Очи-
стить".

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 38
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Для сортировки записей:


• Наведите курсор мыши на заголовок столбца и нажмите левую кнопку мыши.
Список будет отсортирован по данному полю в алфавитном порядке. Повторное
нажатие кнопки мыши изменяет порядок сортировки. Текущее направление сор-
тировки обозначается значками и соответственно.

Для перемещения столбцов:


• Наведите курсор мыши на заголовок перемещаемого столбца и нажмите ле-
вую кнопку мыши. Не отпуская кнопку, перетащите поле в нужное место. От-
пустите кнопку. Столбец займет указанное место.

Настройка программы
Настройка программы осуществляется с помощью команд меню "ЦУС" и за-
ключается в настройке параметров соединения с ЦУС и агентом, а также в вы-
боре режима идентификации администратора.

Настройка параметров соединения с ЦУС


Внимание! Чтобы измененные параметры вступили в силу, необходимо разорвать соединение
программы управления с ЦУС и заново установить его.

Для настройки параметров соединения с ЦУС:


1. Активируйте в контекстном меню раздела "Центр управления сетью" команду
"Параметры соединения с ЦУС…". На экране появится одноименное окно.
2. Заполните поля данного окна и нажмите кнопку "OK":

IP-адрес IP-адрес того интерфейса ЦУС, который подключен к сегменту сети,


содержащему данный компьютер

Время Время ожидания соединения в секундах (от 10 до 600 сек.)


ожидания
соединения,
сек.

Считыватель Устройство для считывания ключа администратора ЦУС. Список


ключей содержит названия тех устройств идентификации, драйверы которых
установлены на компьютере

Настройка параметров соединения с агентом


Для настройки параметров соединения с агентом:
1. Активируйте в контекстном меню раздела "Центр управления сетью" команду
"Параметры соединения с агентом ЦУС и СД…". На экране появится од-
ноименное скно.
2. Заполните поля данного окна и нажмите кнопку "OK":

IP-адрес IP-адрес компьютера, на котором установлен агент. Если агент и


программа управления установлены на одном и том же компьютере —
IP-адрес данного компьютера или 127.0.0.1

Время Время ожидания соединения в секундах (от 10 до 600 сек.)


ожидания
соединения,
сек.

Программа управления устанавливает соединение с агентом автоматически каж-


дый раз, когда это необходимо, поэтому никакие дополнительные действия по-
сле изменения параметров соединения не требуются.
Дальнейшие действия по настройке соединения с агентом описаны в [5].

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 39
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Управление лицензиями
Ограничения на параметры ЦУС определяются приобретенными лицензиями.
Управление лицензиями осуществляют в ПУ ЦУС.

Для добавления лицензии:


1. При отсутствии лицензий при запуске ПУ ЦУС окно "Управление лицензиями
ЦУС" появляется автоматически после прохождения процедуры аутенти-
фикации. Это окно также можно вызвать посредством кнопки "Лицензии" на
панели инструментов при выборе раздела "Центр управления сетью" в об-
ласти навигации ПУ ЦУС.

Примечание. Лицензии, зарегистрированные в более ранних версиях комплекса, отобра-


жаются в списке с отметкой "Ввод КШ<устройства> в эксплуатацию". При этом действие таких ли-
цензий сохраняется.
2. Для добавления лицензии нажмите кнопку "Добавить".
Появится стандартное окно Windows для открытия файла.
3. Укажите местонахождение и имя файла лицензии и нажмите кнопку "От-
крыть".
Появится окно "Выбор лицензий для добавления".

4. Выберите требуемую лицензию и нажмите кнопку "ОК".


При успешном добавлении лицензии ее серийный номер и краткая ха-
рактеристика появится в списке зарегистрированных лицензий. При ошибке
на экране появляется соответствующее сообщение.
5. Нажмите кнопку "Закрыть" для выхода в главное окно ПУ ЦУС.

Завершение работы
Для завершения работы с ПУ ЦУС активируйте в меню управления команду "Вы-
ход". При этом защищенное управляющее соединение программы с ЦУС будет
разорвано, а основное окно программы исчезнет с экрана.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 40
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Переустановка, исправление и удаление


Перед выполнением обновления, переустановки или удаления (далее — об-
служивания) обязательно завершите работу программы управления, иначе поя-
вится сообщение с предложением закрыть программу управления в ходе
установки.
Обслуживание агента, установленного с программой управления на одном ком-
пьютере, осуществляется автоматически при выполнении этих процедур над про-
граммой управления.
Обслуживание ПУ ЦУС выполняют аналогично процедуре установки ПУ ЦУС, при-
веденной в [2]. Вместо окна выбора варианта установки будет отображено окно
обслуживания программы:

Для обслуживания ПУ ЦУС:


1. Установите отметку в требуемом поле и нажмите "Далее >".
2. Выполните дальнейшие пункты процедуры установки подсистемы управ-
ления.
Примечание. Удалить ПУ ЦУС можно также средствами ОС Windows.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 41
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Глава 3
Организация работы администраторов
комплекса
Политика аутентификации администраторов
Параметрами политики аутентификации администраторов при запуске ПУ ЦУС
являются:
• минимальная длина пароля;
• количество неудачных попыток входа до блокировки;
• время блокировки при превышении количества неудачных попыток входа;
• контроль слабых паролей (т. е. пароль должен содержать буквы верхнего и
нижнего регистра, цифры и специальные символы, при этом любой символ
не должен повторяться более 2 раз).
Настройка параметров выполняется главным администратором комплекса.
Остальным администраторам параметры политики доступны только для про-
смотра.
Внимание! Политика аутентификации распространяется на вход в локальное меню сетевого
устройства.

Для просмотра и настройки политики аутентификации:


1. В области объектов управления ПУ ЦУС вызовите контекстное меню раздела
"Центр управления сетью" и активируйте команду "Свойства".
Появится окно "Свойства ЦУС".
2. Выберите пункт "Политика аутентификации".
В правой части окна отобразятся значения параметров политики аутенти-
фикации.
3. Установите нужные значения параметров и нажмите кнопку "OK".

Управление учетными записями администраторов


После установки комплекс будет содержать только одну учетную запись
администратора ЦУС — "Встроенный администратор". Этой учетной записи при-
своена роль "Главный администратор", обеспечивающая полные права на адми-
нистрирование комплекса.
Идентификатор администратора, предназначенный для идентификации глав-
ного администратора, создается при инициализации ЦУС. Идентификатор содер-
жит служебную информацию, необходимую для запуска программы управления.
Помимо учетных записей администраторов ЦУС можно создавать учетные записи
локальных администраторов сетевых устройств комплекса. Этот тип учетной за-
писи обладает полными правами на локальное управление набором сетевых
устройств, включая опциональное удаленное управление по протоколу SSH.
Главный администратор может назначать других администраторов, наделенных
ограниченными правами на администрирование комплекса. Перечень ролей
администраторов и соответствующих им прав представлен на стр. 134. При до-
бавлении новой учетной записи создается идентификатор данного админи-
стратора.

Для просмотра списка зарегистрированных администраторов:


• Выберите в области объектов управления пункт "Центр управления сетью |
 Администраторы".

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 42
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

В области отображения информации появится перечень зарегистрированных


администраторов.

Для создания учетной записи администратора ЦУС:


1. Выберите в области объектов управления пункт "Центр управления сетью |
 Администраторы " и нажмите кнопку "Администратор" на панели управ-
ления.

На экране появится одноименное окно.

2. Заполните поля и нажмите кнопку "OK".

Название Имя администратора (не более 59 символов)

Роль Наименование роли. Роль определяет права


администратора на администрирование системы.
Перечень ролей и соответствующих им прав
представлен на стр. 134

Ключ Срок действия данной учетной записи.


администратора Максимальный срок действия учетной записи —
действителен до до 01.01.2038

Заблокирован При наличии отметки запуск программы


управления и агента данным администратором
невозможен

На экране появится запрос пароля для шифрования ключа администратора.


3. Введите пароль и нажмите кнопку "OK".
На экране появится окно "Параметры соединения".
4. Выберите в раскрывающемся списке чистый носитель для сохранения адми-
нистративного ключа и нажмите кнопку "OK".
В случае если нужный носитель не был подключен, подключите его и наж-
мите кнопку .
Примечание. Список содержит названия тех устройств идентификации, драйверы которых
установлены на компьютере.
После успешного завершения записи ключевой информации на носитель
перечень администраторов на экране дополнится соответствующей записью.

Для создания учетной записи локального администратора КШ:


1. Выберите в области объектов управления пункт "Центр управления сетью |
 Администраторы " и в выпадающем списке кнопки "Администратор" на

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 43
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

панели управления выберите команду "Локальный администратор КШ".

На экране появится окно создания новой учетной записи.

2. Заполните поля и нажмите кнопку "OK".

Имя Имя администратора (не более 59 символов)

Логин Имя учетной записи администратора, содержащее буквы


латинского алфавита в нижнем регистре, цифры или символы -_

Пароль Пароль длиной не менее 6 символов, содержащий знаки как


минимум двух из трех категорий:
Подтверждение • буквы латинского алфавита
пароля • цифры от 0 до 9
• символы !@$%&?

Доступ к сетевым Список сетевых устройств, к управлению которыми имеет доступ


устройствам администратор. Для добавления сетевых устройств нажмите
кнопку "Добавить", используя клавиши "Ctrl" и "Shift" выберите
требуемое в списке устройств и нажмите кнопку "OK". Для
удаления сетевого устройства выберите его в списке и нажмите
кнопку "Удалить".

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 44
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Локальный При наличии отметки администратору разрешен доступ к


доступ локальному управлению устройством

Удаленный тер- При наличии отметки администратору разрешен доступ к


минал удаленному управлению устройством по протоколу SSH

Заблокирован При наличии отметки запуск программ управления


администратором невозможен

После успешного выполнения операции на экране список учетных записей


администраторов дополнится соответствующей записью.

Для управления учетной записью администратора:


Примечание. Если в системе зарегистрирован единственный действующий администратор с
правами главного администратора, изменить, блокировать или удалить его учетную запись не-
возможно.
1. Выберите в списке нужную учетную запись администратора.
2. Для изменения нажмите на панели инструментов кнопку "Свойства", вне-
сите изменения в параметрах учетной записи и нажмите кнопку "ОК".
3. Для блокировки нажмите на панели инструментов кнопку "Свойства", уста-
новите отметку в поле "Заблокирован" и нажмите кнопку "ОК".
4. Для удаления нажмите на панели инструментов кнопку "Удалить" и нажмите
кнопку "Да" в появившемся окне подтверждения.

Смена административного ключа


Смена ключей осуществляется периодически в соответствии с требованиями по-
литики безопасности предприятия, а также при утере носителя с адми-
нистративным ключом.
При записи административного ключа на новый носитель старый адми-
нистративный ключ становится недействительным.

Для смены ключа:


1. Выберите в списке необходимую учетную запись администратора.
2. Вызовите контекстное меню и активируйте команду "Сменить ключ".
На экране появится запрос для подтверждения обновления ключа.
3. Нажмите кнопку "Да".
На экране появится окно для ввода пароля.
4. Введите пароль для шифрования ключей и нажмите кнопку "OK".
На экране появится окно для определения параметров соединения.
5. Выберите в раскрывающемся списке носитель для сохранения нового адми-
нистративного ключа.
В случае если нужный носитель не был подключен, подключите его и наж-
мите кнопку .
После успешного завершения записи ключевой информации на носитель на
экране появится соответствующее информационное сообщение. Закройте ок-
но сообщения.

Копирование административного ключа


Данная процедура позволяет создать дубликат административного ключа, с по-
мощью которого осуществляется идентификация администратора. Программа
копирования ключей является одним из компонентов подсистемы управления и
устанавливается на компьютер с установочного диска совместно с другими компо-
нентами.
Примечание. Ключевой носитель может содержать только один ключ ЦУС и произвольное ко-
личество ключей серверов доступа.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 45
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Для копирования ключа:


1. Предъявите носитель с ключом и носитель для записи дубликата.
2. Нажмите на панели задач кнопку "Пуск" и активируйте в главном меню
Windows команду "Программы> Код Безопасности> Программа копирования
ключей".
На экране появится окно "Копирование ключей ЦУС и сервера доступа".

3. Выберите из раскрывающихся списков:


• в группе полей "Источник" — название устройства, с которого будет ко-
пироваться ключ;
• в группе полей "Приемник" — название устройства, на которое будет ко-
пироваться ключ.
Примечание. Списки содержат названия тех устройств идентификации, драйверы которых
установлены на компьютере. Для обновления списков используйте кнопку "Обновить списки".
В поле "Ключи в хранилище" отобразится перечень ключей, хранящихся на
данном носителе.
4. В поле "Ключи в хранилище" группы полей "Источник" выберите ключи для
копирования и нажмите кнопку "> Копировать >".
Выбранные ключи будут скопированы на новый носитель, и перечень ско-
пированных ключей отобразится в поле "Ключи в хранилище" группы полей
"Приемник".
5. Закройте окно программы с помощью кнопки "Выход".

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 46
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Глава 4
Централизованное управление сетевыми
устройствами
Управление сетевым устройством
Развертывание сетевого устройства описано в [ 2 ] . Дальнейшее управление
устройством возможно как локально, с ограниченным функционалом, так и с по-
мощью программы управления, с полным набором настроек.
Ввод сетевого устройства в эксплуатацию осуществляется после его ини-
циализации и подключения. Вывод из эксплуатации требуется для выполнения
некоторых настроек.
Пока сетевое устройство не введено в эксплуатацию, для него не могут быть уста-
новлены парные связи. При этом в программе управления такое сетевое устрой-
ство отображается с соответствующим статусом.
Программа управления позволяет дистанционно проводить перезагрузку и вы-
ключение сетевых устройств. Перезагрузка автоматически выполняется при об-
наружении сбоев в работе программного обеспечения сетевого устройства.

Для ввода сетевого устройства в эксплуатацию/вывода сетевого


устройства из эксплуатации:
1. Вызовите контекстное меню объекта с именем нужного устройства и акти-
вируйте команду "Свойства…".
На экране появится окно настройки свойств данного сетевого устройства.
2. Установите/удалите отметку в поле "Введен в эксплуатацию".
3. Нажмите кнопку "OK".
Примечание. Данную операцию можно выполнить для группы сетевых устройств . Для этого вы-
делите группу в списке, вызовите контекстное меню и выберите команду "Ввести в эксплуатацию"
или "Вывести из эксплуатации".

Для удаления сетевого устройства:

Внимание! Запрещено удалять криптографический шлюз, на котором находится ЦУС.


1. Выберите в области объектов управления тип устройства, затем выберите в
списке справа требуемый объект и нажмите на панели инструментов кнопку
"Удалить".
На экране появится запрос на подтверждение удаления.
2. Нажмите кнопку "Да" в окне запроса.
На экране появится окно "Режимы удаления криптошлюза".
Примечание. Окно отображается только в том случае, если существуют сетевые объекты, при-
вязанные (см. стр. 77 ) к данному сетевому устройству. Если такие объекты отсутствуют, то се-
тевое устройство будет удалено сразу после подтверждения запроса.
3. Выберите режим удаления и нажмите кнопку "OK".

Удалить объекты Удаляет сетевые устройства, а также все сетевые объекты,


привязанные к этому сетевому устройству

Снять привязку Удаляет сетевое устройство. Сетевые объекты данного сетевого


к объектам устройства сохраняются

Для перезагрузки сетевого устройства:


1. Выберите в области объектов управления тип устройства и нажмите кнопку
"Перезагрузить" на панели инструментов.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 47
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Примечание. Возможен множественный выбор объектов.


На экране появится запрос на перезагрузку сетевого устройства.
2. Нажмите кнопку "Да".

Для перезагрузки сетевых устройств в составе кластера резер-


вирования:
1. Выберите в области объектов управления требуемый кластер и нажмите кноп-
ку "Перезагрузить" на панели инструментов.
На экране появится запрос на перезагрузку сетевого устройства.
2. Нажмите кнопку "Да".
3. Когда состояние кластера сменится на предупреждение об отсутствии в сети
основного узла , нажмите кнопку "Перезагрузить" на панели
инструментов.
На экране появится запрос на перезагрузку сетевого устройства.
4. Нажмите кнопку "Да".
При перезагрузке сетевого устройства осуществляется проверка целостности
файлов программного обеспечения и загрузочных секторов. Сведения о на-
рушении целостности этих объектов помещаются в журнал НСД данного се-
тевого устройства.

Для выключения сетевого устройства:

Внимание! После выключения сетевого устройства защищаемый им сегмент сети отключается от


общей сети и связь с внешними и сторонними абонентами из этого сегмента становится не-
возможной.
1. Выберите в области объектов управления тип устройства, вызовите
контекстное меню требуемого объекта и активируйте команду "Выключить
<сетевое устройство>".
Примечание. Возможен множественный выбор объектов.
На экране появится запрос на выключение устройства.
2. Нажмите кнопку "Да".

Для обновления конфигурации сетевого устройства:

Примечание. Обновление конфигурации сетевого устройства требуется для согласования вза-


имодействия ЦУС с устройством в случае возникновения сбоев в работе программного обес-
печения.
• Выберите в области объектов управления тип устройства, вызовите
контекстное меню требуемого объекта и активируйте команду "Обновить кон-
фигурацию ...".
По этой команде все настройки сетевого устройства будут приведены в со-
ответствие настройкам, хранящимся в базе данных ЦУС. В течение интервала
времени до обновления конфигурации на сетевом устройстве это сетевое
устройство будет отображаться в списке с индикатором .

Миграция на новую аппаратную платформу


При необходимости можно заменить аппаратную платформу ЦУС или сетевого
устройства, например, более производительной.
Для проведения работ, связанных с переходом на новую аппаратную платформу,
отличающуюся количеством и типами сетевых адаптеров от исходной, необ-
ходимо предварительно связаться со службой технической поддержки компании
"Код Безопасности" и получить соответствующие инструкции.
Внимание! Самостоятельная замена аппаратной платформы запрещена.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 48
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Просмотр сведений о ПО сетевого устройства


В программе управления ЦУС можно просмотреть следующие сведения о ПО, уста-
новленном на сетевом устройстве:
• состояние программного обеспечения — наличие в БД ЦУС обновления ПО, го-
тового для установки на данное сетевое устройство;
• текущая версия программного обеспечения, установленного на сетевом
устройстве;
• контрольная сумма установленного программного обеспечения;
• аппаратная платформа;
• статус автозагрузки сетевого устройства (отключена или включена).
Примечание. Настройка автозагрузки сетевого устройства выполняется при локальном управ-
лении средствами ПАК "Соболь".

Для просмотра сведений о сетевом устройстве:


1. Выберите в области объектов управления тип устройства, затем в списке
справа выберите требуемый объект и нажмите кнопку "Свойства" на панели
инструментов.
На экране появится окно настройки свойств данного сетевого устройства.
2. Перейдите на вкладку "Версия ПО".
На вкладке отобразятся сведения о сетевом устройстве.
Примечание. В нижней части вкладки расположена группа полей "Время загрузки ПО", пред-
назначенная для загрузки файла обновления на данное сетевое устройство" (см. стр. 130).

Управление группой сетевых устройств


Сетевые устройства комплекса одного типа можно группировать и выполнять од-
новременную настройку ряда параметров.

Группа сетевых устройств


Для удобства управления сетевыми устройствами одного типа их можно объеди-
нять в группы. Посредством контекстного меню группы сетевых устройств вы-
полняются следующие операции:
• Создание еще одной группы (см. ниже).
• Удаление группы (см. стр. 51).
• Смена ключей парной связи всех устройств группы (см. стр. 50).
• Просмотр свойств группы (см. стр. 50).
Управление составом сетевых устройств в группах осуществляется как в свой-
ствах группы (см. стр. 50), так и в свойствах сетевого устройства (см. стр. 51).

Для создания группы сетевых устройств:


1. Выберите в области объектов управления требуемый тип устройства, затем
нажмите кнопку создания группы сетевых устройств на панели инстру-
ментов.
На экране появится окно создания группы сетевых устройств.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 49
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

2. Заполните поле названия и при необходимости описания группы.


3. Сформируйте список сетевых устройств группы, используя кнопки "До-
бавить..." и "Удалить".
4. Нажмите кнопку "ОК".
На экране в области объектов управления появится новая группа сетевых
устройств.

Для просмотра свойств группы сетевых устройств:


• Вызовите в области объектов управления контекстное меню группы сетевых
устройств и выберите команду "Свойства...".
На экране появится окно свойств группы <сетевых устройств> (см. выше).

Для смены ключей парной связи всех устройств группы:

Внимание! Запрещена групповая смена ключей в группе, в которой находится ЦУС.


1. Вызовите в области объектов управления контекстное меню группы сетевых
устройств и выберите команду смены ключей.
На экране появится окно смены комплекта ключей сетевых устройств.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 50
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

2. Выберите время, отводимое на смену ключей и нажмите кнопку "Да".

Для удаления группы сетевых устройств:


1. Вызовите в области объектов управления контекстное меню группы сетевых
устройств и выберите команду ее удаления.
На экране появится запрос на подтверждение удаления.
2. Нажмите кнопку "Да" в окне запроса.

Для управления размещением сетевого устройства в группах:

Примечание. Добавить сетевое устройство можно также в окне свойств группы (см. выше).
1. Выберите в области объектов управления требуемый тип устройства, затем в
списке справа выберите требуемый объект и нажмите кнопку "Свойства" на
панели инструментов.
На экране появится окно свойств, открытое на вкладке "Общие сведения".
2. Перейдите на вкладку "Членство в группах".

На экране появится список групп, в которых состоит сетевое устройство.


3. Для добавления устройства в состав группы нажмите кнопку "Добавить..." и
выберите требуемую в списке имеющихся групп.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 51
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

4. Для удаления устройства из состава группы выберите требуемую группу в


списке и нажмите кнопку "Удалить".

Групповая настройка сетевых устройств


Настройку ряда параметров сетевых устройств можно выполнить сразу для груп-
пы сетевых устройств одного типа.

Для групповой настройки сетевых устройств:


1. Выберите в области объектов управления требуемый тип устройства, затем в
списке справа выберите группу объектов, используя клавиши "Ctrl","Shift" и
управляющие клавиши клавиатуры или мышь. Вызовите контекстное меню и
выберите команду "Групповые операции...".

На экране появится окно мастера групповых операций, открытое на вкладке


"Общие сведения".

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 52
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

2. Проведите настройку требуемых параметров и нажмите кнопку "Далее>".

Вкладка Описание параметров

Общие сведения Стр. 54

Журналы Документ [5]

Маршрутизация Стр. 71

Связи Стр. 77

Членство в группах Стр. 51

Версия ПО Стр. 129

На экране появится окно "Применение" мастера групповых операций.

3. Проверьте список планируемых изменений и нажмите кнопку "Применить".


На экране появится завершающее окно мастера групповых операций.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 53
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

4. При необходимости посмотреть и сохранить отчет нажмите ссылку "Посмот-


реть отчет".
На экране появится окно приложения для просмотра текстовых документов с
открытым в нем файлом отчета.
5. Для выхода из мастера групповых операций нажмите кнопку "Готово" или
"Закрыть".

Настройка общих параметров сетевого устройства


Настройку общих параметров выполняют в окне свойств сетевого устройства.

Для настройки общих параметров:


1. Выберите в области объектов управления тип устройства, затем в списке
справа выберите требуемый объект и нажмите кнопку "Свойства" на панели
инструментов.
На экране появится окне свойств сетевого устройства, открытое на вкладке
"Общие сведения".
2. Внесите необходимые изменения в поля вкладки и нажмите кнопку "OK".

Идентификатор Информационное поле, отображающее заводской


идентификационный номер сетевого устройства. Изменению
средствами ПУ ЦУС не подлежит

Название Имя сетевого устройства, под которым оно зарегистрировано в


базе данных ЦУС и значится в списке объектов, отображаемом
программой управления. Максимальная длина имени — 39
символов

Описание Дополнительные сведения. Максимальная длина записи в этом


поле — 79 символов

Частный режим Установка отметки включает частный режим работы

Страна Страна местонахождения устройства

Часовой пояс Смещение часовой зоны региона, в котором эксплуатируется


сетевое устройство, от UTC

Введен в При наличии отметки ЦУС устанавливает управляющее


эксплуатацию соединение с данным сетевым устройством, при отсутствии
отметки — не устанавливает. Для КШ, на котором находится ЦУС,
выключатель заблокирован

Мягкий режим Установка отметки включает мягкий режим работы КШ и КК,


который предназначен для настройки устройства. В этом
режиме нарушения правил фильтрации регистрируются в
журнале НСД, однако IP-пакеты, не удовлетворяющие правилам
фильтрации, не отбрасываются

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 54
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Аутентификация Только для КШ. При наличии отметки выполняется процедура


пользователей аутентификации пользователей на данном КШ

Оптимизация Только для КШ. При наличии отметки ЦУС оптимизирует список
правил правил фильтрации, загружаемых на сетевое устройство
фильтрации

Программный Установка отметки включает программный криптоускоритель


криптоускоритель при наличии соответствующей лицензии

Минимальный раз- Размер IP-пакета в байтах, при превышении которого IP-пакеты


мер сжимаемого подвергаются сжатию, если режим сжатия для данного сетевого
пакета устройства включен (см. стр. 77). IP-пакеты меньшего размера
сжатию не подвергаются

Период контроля Периодичность в минутах, с которой на сетевом устройстве


целостности фай- осуществляется проверка целостности объектов, заданных
лов, мин. шаблонами контроля целостности. Проверка осуществляется
средствами программного обеспечения сетевого устройства.
Сведения о результатах проверки сохраняются в журналах
регистрации

Размер про- Только для КШ.


веряемого сег- Объем проверяемых данных в байтах, относящихся к одному
мента данных соединению. В зависимости от задаваемого значения может
составлять от доли пакета до нескольких пакетов. Если в
сегменте указанного размера заданное регулярное выражение
обнаружено, дальнейшая проверка по данному правилу
прекращается. Все пакеты, относящиеся к данному соединению,
пропускаются. Если выражение не обнаружено, соединение
разрывается. Распространяется только на разрешающие
правила фильтрации с заданным регулярным выражением и
контролем состояния соединения

Автоматический Включение/отключение режима принудительной установки


поиск MTU в флага DF (Don't fragment) в канале управления. По умолчанию
канале режим включен
управления

Автоматический Включение/отключение режима принудительной установки


поиск MTU в флага DF (Don't fragment) в канале VPN. По умолчанию режим
канале VPN включен

MSS "Не менять" – значение MSS устанавливается автоматически.


пользовательского "Установить" – ввод вручную значения из диапазона 536-1408
трафика

Настройка интерфейсов
Сетевые интерфейсы
Имена интерфейсов, отображаемые в окне ПУ ЦУС, соответствуют именам, ука-
занным на корпусе сетевого устройства рядом с каждым разъемом.
Любой интерфейс может иметь несколько IP-адресов.
Интерфейс, определенный как SPAN-порт, должен использоваться только для це-
лей анализа сетевого трафика. Подключать его к любым сетям запрещается, так
как это может привести к лавинообразному росту трафика и выходу сети из
строя.

Для настройки интерфейсов сетевого устройства:


1. Вызовите окно свойств сетевого устройства и перейдите к вкладке "Ин-
терфейсы".

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 55
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Примечание. Имена интерфейсов, отображаемые в таблице, соответствуют именам, ука-


занным на корпусе сетевого устройства рядом с каждым разъемом.
2. Для изменения параметров интерфейса выберите его в таблице, нажмите
кнопку "Изменить...", внесите необходимые изменения (см. ниже) и нажмите
кнопку "ОК".
Примечание. Для смены или удаления интерфейса резервирования необходимо пред-
варительно задать дополнительный интерфейс резервирования(см. стр. 117), либо выключить
режим резервирования (см. стр. 118).
3. Для добавления нового модемного или виртуального интерфейса нажмите
кнопку "Создать", выберите тип интерфейса, заполните поля его параметров
(см. ниже) в появившемся окне и нажмите кнопку "ОК".
4. Для удаления модемного или виртуального интерфейса выберите его в та-
блице, нажмите кнопку "Удалить" и подтвердите удаление, нажав кнопку
"Да" в появившемся окне.

Параметры сетевых интерфейсов


Табл.4 Параметры интерфейса Ethernet

Параметр Описание

Тип Тип интерфейса:


• Внешний — интерфейс, подключаемый к сетям общего пользования.
• Внутренний — интерфейс, подключаемый к защищаемой сети (только
для КШ).
• Резервирование <сетевого устройства>— интерфейс для обмена
служебной информацией между основным и резервным устройством в
кластере (интерфейс резервирования).
• Порт криптокоммутатора (только для КК) – интерфейс, используемый в
составе виртуального коммутатора для создания криптографической
коммутируемой сети.
• Не определен — интерфейс при работе сетевого устройства не
используется

Режим Режим работы сетевой карты

MTU Максимальная единица передачи данных (в байтах). Допустимые значения:


576 - 1600. Если типом интерфейса является "порт криптокоммутатора", по
умолчанию устанавливается значение 1500, которое изменять не
рекомендуется

IP-адреса Список IP-адресов интерфейса. Для добавления нового адреса нажмите


кнопку "Добавить", укажите IP-протокол (IPv4 или IPv6; IPv6 используется
только для внешних интерфейсов) и далее введите адрес и маску (префикс
для IPv6).
Для удаления выбранного IP-адреса используйте кнопку "Удалить"

Табл.5 Параметры VLAN-интерфейса

Параметр Описание

Название Наименование VLAN-интерфейса. Присваивается автоматически (vlan0,


vlan1 и т.д.)

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 56
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Параметр Описание

Тип Тип интерфейса:


• Внешний — интерфейс, подключаемый к сетям общего пользования.
• Внутренний — интерфейс, подключаемый к защищаемой сети (для
КШ).
• Порт криптокоммутатора (для КК)

MTU Максимальная единица передачи данных (в байтах)

VLAN- Идентификатор виртуальной локальной сети (VID)


идентификатор

Родительский Выберите в раскрывающемся списке родительский


интерфейс интерфейс

IP-адреса Список IP-адресов интерфейса (до 16). Для добавления нового адреса
нажмите кнопку "Добавить", укажите IP-протокол (IPv4 или IPv6; IPv6
используется только для внешних интерфейсов) и далее введите адрес
и маску (префикс для IPv6).
Для удаления выбранного IP-адреса используйте кнопку "Удалить"

Регистрация Задание правила регистрации событий в журналах. Значения:


• определяется сетевым устройством (правило наследуется из
свойств сетевого устройства);
• первые 64 байта;
• тело пакета

Табл.6 Параметры PPP-интерфейса

Параметр Описание

Название Наименование PPP-интерфейса. Присваивается автоматически (tun0,


tun1 и т.д.)

Тип Тип интерфейса:


Внешний — интерфейс, подключаемый к сетям общего пользования

MTU Максимальная единица передачи данных (в байтах)

Режим работы Dialup (Входящий), Dialup (Исходящий), Выделенная линия или PPPoE
(Исходящий). Поле доступно, если сетевое устройство выведено из
эксплуатации (см. стр. 54)

IP-адрес IP-адрес RAS-клиента для подключения к серверу удаленного доступа


(для режимов Dialup)

Имя Имя пользователя, зарегистрированного у провайдера, и его пароль


пользователя,
пароль

Скорость Скорость передачи данных через COM-порт (для режимов Dialup и


Выделенная линия).
Примечание. При подключении модема через USB-порт в данном поле
необходимо выбрать значение "USB-модем".

Тайм-аут Время ожидания соединения в секундах (для режимов Dialup)

Строка Значение строки инициализации модема (для режимов Dialup)


инициализации

Номер Список номеров телефонов модемного пула (только для режима Dialup
телефона (Исходящий)). Для добавления нового номера введите номер телефона
в одноименное поле и нажмите кнопку "Добавить". Для удаления
выбранного номера используйте кнопку "Удалить"

Имя сервиса Имя сервиса (только для режима PPPoE (Исходящий))

Интерфейс Название интерфейса, через который осуществляется подключение


(только для режима PPPoE (Исходящий))

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 57
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Параметр Описание

Регистрация Задание правила регистрации событий в журналах. Значения:


• определяется сетевым устройством (правило наследуется из
свойств сетевого устройства);
• первые 64 байта;
• тело пакета

Альтернативные адреса КШ и КК
При недоступности КШ или КК сетевые устройства комплекса могут переклю-
читься на резервный канал связи. Для этого необходимо заранее задать аль-
тернативный IP-адрес этого КШ или КК.
Также этот параметр необходим для корректной процедуры замены IP-адреса
внешнего интерфейса ЦУС.

Для назначения альтернативного адреса:


1. Вызовите меню свойств КШ или КК и перейдите на вкладку "Альтернативные
адреса".

2. Сформируйте список альтернативных адресов. Для этого используйте кноп-


ки "Добавить…", "Изменить..." и "Удалить". Затем нажмите кнопку "При-
менить".
При вводе альтернативного адреса укажите протокол (IPv4 или IPv6).
Система приступит к скрытой рассылке альтернативных адресов на сетевые
устройства комплекса.
3. Нажмите кнопку "Закрыть".

Замена IP-адреса внешнего интерфейса ЦУС


Для замены IP-адреса ЦУС:
1. Назначьте альтернативный адрес ЦУС (см. выше).
2. Вызовите на экран меню свойств КШ с ЦУС и перейдите на вкладку "Ин-
терфейсы".
3. Выберите интерфейс, IP-адрес которого требуется заменить, и нажмите кноп-
ку "Изменить…".
На экране появится окно "Свойства физического интерфейса".
4. Приведите список IP-адресов в требуемое состояние, используя кнопки "До-
бавить…", "Изменить..." и "Удалить", и нажмите кнопку "OK".
Изменения в адресации на выбранном интерфейсе сразу вступят в силу.
5. Для завершения настройки нажмите кнопку "ОК".

Настройка объединения интерфейсов


Для повышения надежности и пропускной способности канала целесообразно
объединить нескольких физических интерфейсов в один логический (LAG - Link

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 58
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Aggregation Group). Текущая реализация поддерживает следующие режимы


объединения интерфейсов (агрегации):
• Failover;
• Round-Robin;
• 802.3ad.

Для настройки агрегации интерфейсов:


1. На вкладке "Интерфейсы" (см. стр. 55) нажмите на кнопку "Создать" и выбе-
рите тип интерфейса "LAGG".
Появится окно настройки агрегации интерфейсов.

2. Заполните поле "Название", выберите в раскрывающихся списках тре-


буемые типы LAG-интерфейса и регистрации событий, задайте список IP-ад-
ресов интерфейса и, при необходимости, измените значение параметра MTU.

Параметр Описание

Наименование Наименование LAG-интерфейса. Присваивается автоматически


(lugg0, lugg1 и т.д.)

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 59
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Параметр Описание

Тип Тип интерфейса:


• Внешний — интерфейс, подключаемый к сетям общего
пользования.
• Внутренний — интерфейс, подключаемый к защищаемой сети
(только для КШ).
• SPAN — интерфейс для подключения ПАК с установленной на
нем системой анализа трафика .
• Порт криптокоммутатора (только для КК) – интерфейс,
используемый в составе виртуального коммутатора для создания
криптографической коммутируемой сети.
• Не определен — интерфейс при работе сетевого устройства не
используется

MTU Максимальная единица передачи данных (в байтах). Допустимые


значения: 576 - 1600. Если типом интерфейса является "порт
криптокоммутатора", по умолчанию устанавливается значение 1500,
которое изменять не рекомендуется

IP-адреса Список IP-адресов интерфейса. Для добавления нового адреса


нажмите кнопку "Добавить", укажите версию IP-протокола (IPv6
используется только для внешних интерфейсов) и далее введите
адрес и маску (префикс для IPv6).
Для удаления выбранного IP-адреса используйте кнопку "Удалить"

3. Сформируйте список агрегируемых интерфейсов из списка свободных фи-


зических интерфейсов (с типом «не определен»), используя кнопки добав-
ления и удаления интерфейса.
Примечание:
• Физические интерфейсы, на основе которых сформированы логические интерфейсы VLAN,
не доступны для всех режимов агрегации.
• Настройки физических интерфейсов, добавляемых в LAG-интерфейс, будут сброшены.
• Приоритет агрегируемых интерфейсов определяется порядком их добавления в состав
LAG-интерфейса.
4. Выберите режим агрегации. В случае выбора 802.3ad выберите режим хэ-
ширования и при необходимости дополнительные опции.

Режим Описание

Failover Передача трафика осуществляется через интерфейс с наивысшим при-


оритетом (активный), остальные интерфейсы играют роль резервных.
При выходе активного интерфейса из строя трафик автоматически станет
передаваться через работоспособный резервный интерфейс с наи-
высшим приоритетом. При восстановлении работоспособности интер-
фейса с наивысшим приоритетом трафик автоматически станет
передаваться через него.

Round- Исходящий трафик распределяется через все LAG-интерфейсы с


Robin использованием циклического планировщика. Данный режим может
привести к беспорядочному прибытию IP-пакетов к клиенту.

По про- Агрегация по протоколу LACP. Выбор интерфейса происходит по специ-


токолу альной формуле, в зависимости от выбранного режима хэширования:
LACP • L2 — учет MAC-адресов источника и назначения трафика;
(802.3ad) • L3 — учет IP-адресов источника и назначения трафика
(обычно используется вместе с L2);
• L4 — учет номеров портов источника и назначения трафика
(обычно используется вместе с L3)

Опция Включение локального вычисления хэш-функции для RSS-хэша на интер-


use_ фейсе
flowid

Опция Aвтоматическая перенастройка значения параметра timeout на 1 секунду


lacp_fast_ (быстрый тайм-аут) для передачи пакетов BPDU.
timeout

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 60
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Примечание. В случае агрегации по протоколу LACP необходима соответственная настройка


оборудования на другом конце агрегированного канала связи.
5. Нажмите «ОК».
Созданный логический интерфейс появится в списке интерфейсов.

Модемное подключение и поддержка PPPoE


Подключение сетевого устройства с помощью модема возможно только к внеш-
ней сети. В качестве протокола аутентификации используется протокол CHAP.
Протоколы MS-PAP и MS-CHAP не поддерживаются.
При использовании выделенной линии необходимо выполнить дополнительную
настройку модема заранее, до подключения его к сетевому устройству (см. [4]).
Добавление или удаление РРР-интерфейса, а также изменение параметра "Ре-
жим работы" возможно только в том случае, если сетевое устройство выведено из
эксплуатации. После изменения режима работы необходимо выполнить ини-
циализацию сетевого устройства.
При локальной настройке модемного подключения ее результаты в программе
управления не отображаются.
При регистрации 3G-модема укажите для параметра "Режим работы" значение
"Dialup (Исходящий)". Остальные параметры настройки модема необходимо по-
лучить у провайдера.
Настройка PPP-интерфейса для модемного подключения приведена на стр. 55.
Внимание! При подключении КШ с ЦУС к внешней сети через PPP-интерфейс необходимо про-
писать выданный RAS-сервером IP-адрес в альтернативные адреса КШ с ЦУС (см. стр. 58).

Подключение модема Huawei 3372h


В данном подразделе приводится описание настроек, которые должны быть вы-
полнены при использовании модема Huawei 3372h.
Внимание!
• Модем Huawei 3372h работает только с криптошлюзами версии 3.7.6 и выше.
• Подключение модема к КШ с ЦУС не предусмотрено.
• Подключение и отключение модема выполняют только при выключенном КШ.
Ниже приведен общий порядок подключения модема и настройки КШ. Пред-
полагается, что КШ, к которому должен быть подключен модем, не прои-
нициализирован. Порядок подключения и настройки для
проинициализированного КШ приведен в конце подраздела.

Для подключения модема и настройки КШ:


1. Зарегистрируйте КШ в ПУ ЦУС, если до этого он не был зарегистрирован (см.
[2]).
2. Выключите КШ и подсоедините к USB-разъему модем.
3. В ПУ ЦУС выберите в списке КШ с подключенным модемом, вызовите
контекстное меню и выберите пункт "Свойства...".
На экране появится окно свойств КШ.
4. Перейдите на вкладку "Интерфейсы" и нажмите кнопку "Создать | PPP".
На экране появится окно "PPP-интерфейс".
5. В поле "Режим работы" укажите CDCE, выбрав его из раскрывающегося
списка.
Поле "IP-адрес" автоматически заполнится значением 192.168.8.100.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 61
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

6. Нажмите кнопку "OK".


Окно "PPP-интерфейс" закроется.
7. Задайте для КШ с модемом маршрут по умолчанию. Для этого в окне свойств
КШ перейдите на вкладку "Маршрутизация" и нажмите кнопку "Добавить".
На экране появится окно "Ввод адреса".
8. Укажите значения параметров:

Параметр Значение

Адрес 0.0.0.0

Маска 0

Следующий узел 192.168.8.1

Примечание. Если маршрут с таким IP-адресом уже существовал, предварительно удалите его.
Нажмите кнопку "OK".
Окно "Ввод адреса" закроется и в списке появится добавленный маршрут по
умолчанию.
9. Запишите конфигурацию и комплект ключей КШ на USB-флеш-накопитель
(см. [2]).
10.Включите КШ с модемом и средствами локального управления выполните его
инициализацию (см. [2 ]). При выполнении инициализации КШ загрузите
конфигурацию и комплект ключей, сохраненные на USB-флеш-накопителе.
11. На вкладке "Общие сведения" окна свойств КШ установите отметку в поле
"Введен в эксплуатацию". Нажмите кнопку "Применить".

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 62
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Для подключения модема к ранее проинициализированному КШ:


1. На вкладке "Общие сведения" свойств КШ удалите отметку из поля "Введен в
эксплуатацию", если она была установлена. Нажмите кнопку "Применить".
При этом осуществится разрыв управляющего соединения ЦУС с КШ.
2. Перейдите на вкладку "Интерфейсы" и добавьте PPP- интерфейс с режимом
работы CDCE (см. выше).
3. Вернитесь на вкладку "Общие сведения" и установите отметку в поле "Вве-
ден в эксплуатацию". Нажмите кнопку "Применить".
4. Сохраните конфигурацию КШ на USB-флеш-накопителе (см. [2]).
5. Выключите КШ и подсоедините к USB-разъему модем.
6. Включите КШ, перейдите к режиму настройки сетевого устройства и в меню
"Управление" выполните загрузку конфигурации, сохраненной на USB-
флеш-накопителе (см. [2]).

Подключение и настройка 3G-модема


Подключение 3G-модема предполагает использование КШ для парной связи с
КШ, установленным в головном или центральном офисе и имеющим белый ста-
тический адрес. При этом скорость передачи данных и качество связи в зна-
чительной степени зависят от таких факторов, как мощность радиосигнала,
удаленность от базовой станции, помехи, создаваемые промышленным обо-
рудованием, и пр.
Внимание! В ПУ ЦУС КШ с 3G-модемом могут отображаться как "КШ за symmetric-NAT". Создать пар-
ные связи между такими КШ нельзя.
Далее приведены примеры подключения к КШ 3G-модема в зависимости от сос-
тояния криптошлюза и условий его работы.
Рассматриваются два варианта:
Вариант 1. КШ введен в эксплуатацию и в ПУ ЦУС в списке отображается со ста-
тусом "Включен".
Вариант 2. КШ зарегистрирован в ПУ ЦУС, но не проинициализирован и не вве-
ден в эксплуатацию. В ПУ ЦУС КШ отображается со статусом "Выключен".

Для подключения и настройки 3G-модема (вариант 1):


1. Вызовите окно свойств КШ, снимите отметку в поле "Введен в эксплуатацию"
и нажмите кнопку "Применить".
2. Перейдите на вкладку "Интерфейсы", создайте новый PPP-интерфейс (см.
стр. 55).
На экране появится окно настроек PPP-интерфейса.
3. В поле "Режим работы" выберите из раскрывающегося списка значение
"Dialup (Исходящий)".
4. В полях "Имя", "Пароль" и "Строка инициализации" укажите значения,
предоставленные провайдером.
5. В поле "Номер телефона" введите номер, предоставленный провайдером, и
нажмите кнопку "Добавить".
Введенный номер будет добавлен в список "Номера".
6. Заполните остальные параметры PPP-интерфейса (см. стр. 57 ) и нажмите
кнопку "OK".
7. Перейдите на вкладку "Общие сведения", установите отметку в поле "Введен
в эксплуатацию" и нажмите кнопку "Применить".
8. Подключите 3G-модем к USB-порту КШ.
9. Перезагрузите КШ средствами ПУ ЦУС (см. стр. 47 ) или средствами локаль-
ного управления (см. стр. 8).

Для подключения и настройки 3G-модема (вариант 2):


1. Выполните пп. 1–6 процедуры варианта 1 (см. выше).

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 63
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

2. Запишите конфигурацию КШ на внешний носитель.


3. Выполните локально инициализацию КШ (см. [2]). При выполнении проце-
дуры инициализации используйте внешний носитель с кон-
фигурацией,записанной при выполнении п. 2.
4. После завершения процедуры инициализации отключите внешний носитель
и подключите 3G-модем к USB-порту КШ.
5. В ПУ ЦУС вызовите окно свойств КШ, установите отметку в поле "Введен в экс-
плуатацию" и нажмите кнопку "ОК".

Настройка Multi-WAN
Данные настройки предоставляют возможность сконфигурировать сеть при од-
новременном подключении КШ или КК к нескольким внешним сетям. Имеются
следующие режимы Multi-WAN:
• передача трафика в соответствии с таблицей маршрутизации;
• обеспечение отказоустойчивости канала связи;
• балансировка трафика между внешними интерфейсами КШ или КК.
Настройку режимов и каналов выполняют на вкладке "Multi-WAN" окна свойств
сетевого устройства.
Примечание. Для сетевого устройства с включенным режимом динамической маршрутизации дан-
ная функция не поддерживается.

Настройка режима Multi-WAN


Перечень внешних каналов связи формируют на вкладке "Multi- WAN" окна
свойств сетевого устройства. На этой вкладке выбирают нужный режим Multi-
WAN, от этого зависят прочие поля настроек. Режим по умолчанию "Передача тра-
фика в соответствии с таблицей маршрутизации".

Для формирования перечня каналов связи и выбора режима:


1. В окне свойств сетевого устройства выберите вкладку "Multi-WAN", в области
каналов WAN сформируйте перечень используемых внешних каналов. Для
формирования списка используйте кнопки:

Добавить… Вызывает на экран окно "Свойства канала связи" для создания в списке
новой записи

Удалить Удаляет из списка выбранную запись

Изменить… Вызывает на экран окно "Свойства канала связи" для редактирования


выбранной записи

Процедура настройки свойств канала связи приведена на стр. 65.


2. В поле "Режим Multi-WAN" выберите в раскрывающемся списке нужный ре-
жим и заполните остальные поля.

Передача трафика в соответствии с таблицей Не требует дополнительной


маршрутизации настройки

Обеспечение отказоустойчивости канала связи См. стр. 65

Балансировка трафика между внешними См. стр. 66


интерфейсами КШ

3. Нажмите кнопку "OK".

Для выключения режима:


• В окне свойств сетевого устройства выберите вкладку "Multi-WAN", удалите
все каналы из списка и выберите режим "Передача трафика в соответствии с
таблицей маршрутизации" и нажмите кнопку "OK".

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 64
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Параметры канала связи


Табл.7 Параметры канала связи

Параметр Описание

Внешний интерфейс Наименование настраиваемого интерфейса сетевого устройства


сетевого устройства

IP-адрес IP-адрес маршрутизатора, обеспечивающий связь с внешней


маршрутизатора к сетью. Маршрутизатор должен находиться в той же сети, к
провайдеру которой подключен настраиваемый интерфейс

Диагностика Включает режим диагностики работоспособности канала. При


работоспособности отключенной диагностике канал будет считаться безусловно
канала доступным

IP-адрес контрольной IP-адрес хоста во внешней сети, наличие соединения с которым


точки будет проверяться

Метод тестирования • Ping — проверка доступности контрольной точки с помощью


команды ping.
• TCP — проверка доступности контрольной точки по
протоколу TCP. Необходимо указать порт, через который
будет устанавливаться соединение

Интервал диагностики, Промежуток времени в секундах между попытками


сек. установления соединения с контрольной точкой

Количество успешных Количество последовательных успешных попыток установления


попыток для соединения с контрольной точкой после восстановления
признания канала работоспособности канала для присвоения каналу статуса
работоспособным "работоспособный"

Количество неудачных Количество неудачных попыток установления соединения с


попыток для контрольной точкой для присвоения каналу статуса
признания канала "неработоспособный"
неработоспособным

Регистрация в журнале При наличии отметки в системном журнале регистрируются


события, связанные с изменением статуса канала

Обеспечение отказоустойчивости канала связи


Для настройки режима обеспечения отказоустойчивости:
1. Сформируйте перечень каналов (см. стр. 64 ) и выберите режим "Обес-
печение отказоустойчивости канала связи".
2. Укажите приоритет каналов. Для этого используйте кнопки со стрелками сле-
ва под списком каналов.
Примечание. Кнопки со стрелками перемещают выбранную запись в списке на одну позицию в
выбранном направлении.
Последовательность записей в списке соответствует приоритету данного ка-
нала.
Удаление отметки в левой части записи отключает использование данного ка-
нала без удаления записи из списка.
3. Выберите режим обратного переключения на работоспособный канал:

Немедленно Обратное переключение на канал с более высоким приоритетом


будет выполнено немедленно после восстановления его
работоспособности независимо от наличия активных соединений

Переключать Обратное переключение на канал с более высоким приоритетом


активные будет выполнено через указанное время после восстановления
соединения работоспособности канала
через

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 65
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Не Обратное переключение на канал с более высоким приоритетом


переключать будет выполнено после закрытия всех активных соединений
активные
соединения

4. Для автоматического создания правил трансляции, которые для всего ис-


ходящего трафика подменяют адрес отправителя на адрес активного в дан-
ный момент внешнего интерфейса, установите отметку в поле
"Автоматический исходящий NAT".
5. Hажмите кнопку "OK" или "Применить".
Примечание. При переключении между WAN-каналами в качестве шлюза по умолчанию авто-
матически устанавливается маршрутизатор, заданный в настройках свойств канала. Для просмотра
текущего значения IP-адреса маршрутизатора используется команда "Вывести таблицы марш-
рутизации" дополнительного меню при локальном управлении сетевым устройством (см. стр. 30). В
таблице IP-адрес маршрутизатора отображается как шлюз по умолчанию.

Балансировка трафика между внешними интерфейсами


сетевого устройства
В режиме балансировки трафика распределение нагрузки на внешние ин-
терфейсы осуществляется в соответствии с назначенными для внешних каналов
весами.
Вес канала – количество последовательных соединений для данного класса ис-
ходящего трафика. По достижении заданного количества соединений ис-
ходящий трафик перенаправляется на другой внешний канал. Вес канала может
составлять от 0 до 10.
Примечание. При установке веса канала равным 0 и при наличии каналов с весом больше 0 откры-
тый трафик будет перенаправляться в эти каналы (режим round robin), минуя канал с весом 0, и будет
распределяться согласно их весам. Если активен только канал с весом 0, трафик будет направлен в
этот канал. При активности нескольких каналов с весом 0 трафик будет последовательно рас-
пределяться между этими каналами.

Для настройки режима балансировки нагрузки:


1. Сформируйте перечень каналов и выберите режим "Балансировка трафика
между внешними интерфейсами <сетевого устройства>" (см. стр. 64).
2. В поле "Каналы WAN" укажите вес канала. Вес выбранного канала уста-
навливают с помощью ползунка, расположенного слева под списком ка-
налов.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 66
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Удаление отметки в левой части записи отключает использование данного ка-


нала без удаления записи из списка.
3. В области "Политики балансировки трафика" сформируйте перечень правил
распределения трафика. Для формирования списка используйте кнопки:

Добавить… Вызывает на экран окно "Параметры политики балансировки трафика"


для создания в списке новой записи

Удалить Удаляет из списка выбранную запись

Изменить… Вызывает на экран окно "Параметры политики балансировки трафика"


для редактирования выбранной записи

Параметры политики:

Класс трафика Зарегистрированный в справочнике класс трафика


(см. стр. 74)

Канал WAN для передачи Внешний канал для передачи зашифрованного


шифрованного трафика трафика

Канал WAN для передачи • Внешний канал для передачи открытого трафика.
открытого трафика • Режим Round Robin (распределение трафика
между каналами в соответствии с их весами)

4. При необходимости установите отметку в поле "Автоматический исходящий


NAT". При наличии отметки автоматически создаются правила трансляции,
которые для всего исходящего трафика подменяют адрес отправителя на ад-
рес указанного в настройках балансировки внешнего интерфейса. Правила
трансляции, заданные администратором, отменяются.
5. Нажмите кнопку "OK".

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 67
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Настройки сервиса DHCP


По умолчанию после установки и инициализации КШ режим DHCP отключен.
Настройки сервиса DHCP на КШ выполняют в окне "Свойства криптошлюза" на
вкладке "DHCP".

На вкладке отображается установленный для данного устройства один из трех


возможных режимов работы сервиса DHCP:
• Отключен;
• Сервер;
• Ретранслятор.
При установленном режиме "Сервер" доступна настройка списка профилей DHCP
(см. ниже).
При установленном режиме "Ретранслятор" доступна настройка IP-адреса сер-
вера DHCP и профилей ретранслятора DHCP (см. стр. 69).

Включение и настройка режима сервера


Для включения и настройки:
1. На вкладке "DHCP" окна свойств КШ установите отметку в поле "Сервер".
Станут доступны кнопки управления списком профилей.
2. Для добавления нового профиля нажмите кнопку "Добавить".
На экране появится окно "Профиль DHCP-сервера".

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 68
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

3. Заполните поля параметров и нажмите кнопку "OK".

Основные параметры

Внутренний Внутренний интерфейс сетевого устройства, на котором


интерфейс должен работать DHCP-сервер. Для выбора внутреннего
интерфейса из детализированного списка используйте
кнопку , расположенную справа

Сетевой объект Сетевой объект, привязанный к указанному внутреннему


интерфейсу, который должен ограничивать область раздачи
адресов. Для выбора объекта из детализированного списка
используйте кнопку , расположенную справа. При выборе
из детализированного списка можно выбрать объект и
просмотреть его свойства, нажав соответствующую кнопку

Пулы IP-адресов Один или несколько диапазонов адресов , ограниченные


начальным и конечным IP-адресом

Постоянные адреса Назначаемые вручную постоянные IP-адреса, не входящие в


указанные пулы адресов и привязанные к MAC-адресам

Время аренды По умолчанию 24 часа

Маска подсети В маску должны попадать пулы адресов и маршрутизатор

Основной шлюз IP-адрес шлюза не должен попадать в пулы адресов

Имя домена Необязательный параметр

DNS-серверы Адреса DNS-серверов

Дополнительные параметры

Широковещательный Широковещательный адрес клиентской подсети


адрес

Статические марш- Маршруты, которые необходимо добавить в таблицу марш-


руты рутизации на стороне клиента. Для формирования списка
маршрутов используйте кнопки "Добавить" и "Удалить"

NTP-серверы IP-адреса NTP-серверов для синхронизации по времени

TFTP-сервер IP-адрес TFTP-сервера и местонахождение загрузочного


файла

Окно "Профиль DHCP-сервера" закроется и на вкладке "DHCP" в списке поя-


вится новый профиль.
4. Для редактирования списка профилей используйте кнопки "Добавить...",
"Удалить" и "Изменить...".
5. Для сохранения изменений и завершения настройки нажмите кнопку "OK".

Включение и настройка ретранслятора


Для включения и настройки:
1. На вкладке "DHCP" окна свойств КШ установите отметку в поле "Рет-
ранслятор".
Станут доступны поле "Адрес сервера DHCP" и кнопки управления списком
профилей ретранслятора.
2. В поле "Адрес сервера DHCP" введите IP-адрес сервера, на который сетевое
устройство будет перенаправлять запросы клиентов.
3. Для добавления нового профиля нажмите кнопку "Добавить".
На экране появится окно "Профиль ретранслятора DHCP".
4. Заполните поля параметров. Для выбора внутреннего интерфейса из де-
тализированного списка используйте кнопку , расположенную справа.
После выбора внутреннего интерфейса остальные поля профиля за-
полняются автоматически.
5. Нажмите кнопку "OK".

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 69
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Окно "Профиль ретранслятора DHCP" закроется и на вкладке "DHCP" в списке


появится новый профиль ретранслятора.
6. При необходимости добавления профиля для другого внутреннего ин-
терфейса выполните пп. 3–5.
• Для изменения адреса сервера DHCP введите в соответствующем поле его
IP-адрес.
• Для редактирования списка профилей используйте кнопки "Добавить",
"Удалить" и "Изменить".
7. Для сохранения изменений и завершения настройки нажмите кнопку "OK".
Внимание! После включения режима ретранслятора настройки для режима сервера DHCP будут
сброшены.

Отключение сервиса DHCP


Для отключения сервиса:
1. На вкладке "DHCP" окна свойств КШ установите отметку в поле "Отключен".
Кнопки управления списками профилей для режимов "Сервер" и "Рет-
ранслятор" станут недоступны.
2. Для сохранения изменений и завершения настройки нажмите кнопку "OK".
Внимание! После отключения сервиса DHCP все настройки, выполненные ранее для сервиса, бу-
дут сброшены.

Просмотр статистики сервера DHCP


При включенном на сетевом устройстве режиме сервера DHCP в ПУ ЦУС можно
просмотреть статистику сервера и таблицу арендованных адресов. Статистика и
арендованные адреса отображаются на вкладке "DHCP" дополнительного окна.
Статистика включает в себя следующие сведения:
• имя внутреннего интерфейса сетевого устройства;
• общее количество адресов пула;
• количество используемых адресов пула;
• количество доступных адресов пула.
В таблице арендованных адресов приводятся следующие сведения:
• IP-адрес, выданный клиенту из пула адресов;
• MAC-адрес клиента;
• сетевое имя клиента;
• дата и время начала аренды;
• дата и время окончания аренды.

Для просмотра статистики:


• В главном окне ПУ ЦУС выберите в списке сетевое устройство, работающее в
режиме сервера DHCP.
На вкладке "DHCP" дополнительного окна отобразятся статистика сервера и
таблица арендованных адресов.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 70
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Настройка параметров маршрутизации


Переход к настройке параметров
Режимы работы сетевого устройства:
• динамическая маршрутизация;
• статическая маршрутизация.
Просмотр и настройка параметров режима работы осуществляются в окне
свойств сетевого устройства на вкладке "Маршрутизация". Вид вкладки и ее
содержание зависят от режима, в котором работает в данный момент сетевое
устройство.
Если настройка режимов не производилась, вкладка "Маршрутизация" отоб-
ражает настройки статической маршрутизации. На вкладке представлены та-
блица маршрутов для данного сетевого устройства и кнопки, с помощью которых
выполняется формирование этой таблицы.

Переключение режима маршрутизации


Для переключения со статической на динамическую маршрутизацию:
1. На вкладке "Маршрутизация" окна свойств КШ в поле "Тип" измените зна-
чение на "Динамическая (поддержка протоколов OSPF, RIP, BGP)".
Вид вкладки изменится и станет соответствовать режиму динамической марш-
рутизации. На вкладке будут отображаться раздел с информацией о марш-
рутах и разделы с конфигурациями для данного сетевого устройства.
Справа от каждого раздела расположены кнопки.

Прерывает процесс обновления отображаемых


сведений о маршрутах, поступающих от ЦУС. После
открытия вкладки "Маршрутизация" кнопка
Прервать обновление
недоступна в течение примерно 50 секунд. После
завершения загрузки информации о маршрутах
кнопка заменяется кнопкой "Обновить список
маршрутов" (см. ниже)

Запускает процесс обновления отображаемых


сведений о маршрутах. Если сетевое устройство в
данный момент выключено, кнопка недоступна
Обновить список маршрутов

Запускает стандартную процедуру загрузки файла.


Используется для загрузки конфигурационного
файла zebra и конфигураций для поддерживаемых
Загрузить конфигурацию
протоколов
из файла

Запускает стандартную процедуру сохранения


содержимого соответствующего раздела в текстовый
файл
Сохранить маршруты/конфи-
гурацию в файл

2. Выполните процедуру настройки динамической маршрутизации (см. стр.


73).

Для переключения с динамической маршрутизации на статическую:


1. На вкладке "Маршрутизация" окна свойств КШ в поле "Тип" измените зна-
чение на "Статическая".
Вид вкладки изменится и станет соответствовать режиму статической марш-
рутизации.
2. Нажмите кнопку "Применить".

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 71
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

В поле "Информация о маршрутах" появятся правила, сформированные авто-


матически, и станут доступными кнопки <Добавить>,<Изменить> и <Уда-
лить>.
3. При необходимости измените список правил (см. стр. 73).

Статическая маршрутизация
Правила маршрутизации подразделяются на два типа:
• правила, сформированные комплексом автоматически;
• правила, заданные администратором.
Правила, сформированные автоматически, предусматривают взаимодействие
только между сегментами сети, подключенными непосредственно к ин-
терфейсам сетевого устройства. Формирование таких правил происходит при до-
бавлении очередного адреса сетевого интерфейса. Правила этого типа
действуют постоянно и не могут быть удалены или изменены администратором.
Начальное заполнение поля "Правила маршрутизации" осуществляется на этапе
подключения сетевого устройства.
На основе правил маршрутизации постоянного действия комплекс авто-
матически формирует временные правила. Временное правило формируется при
поступлении на сетевое устройство IP-пакета, адресованного одному из або-
нентов защищаемой сети. Такое правило имеет ограниченное время действия, и
если за это время на данный адрес не поступает новый пакет, правило уни-
чтожается. Если пакет поступает, отсчет времени действия правила начинается
заново. Кроме приведенного примера временные правила создаются также при
наличии на пути прохождения IP-пакета сетей, характеризующихся значением
MTU меньшим, чем у интерфейса сетевого устройства. Правила этого типа не мо-
гут быть удалены или изменены администратором. Они не отображаются на эк-
ране.
Если защищаемая сеть подсоединена к сетевому устройству через марш-
рутизатор, правила маршрутизации для абонентов этой сети задаются
администратором. Эти правила действуют постоянно.
Внимание! Не изменяйте настройки в окне "Маршрутизация" без крайней необходимости. При не-
корректном вводе правил маршрутизации сетевое устройство работать не будет.
Список правил маршрутизации отображается в виде таблицы, каждая строка ко-
торой соответствует одному правилу. Перечень полей таблицы правил марш-
рутизации и их описание представлены в таблице ниже.

Табл.8 Поля таблицы правил маршрутизации

Поле Описание

Адрес IP-адрес подсети абонента-получателя

Маска Маска подсети абонента-получателя

Следующий IP-адрес следующего узла, через который должны проходить IP-пакеты


узел для абонента-получателя

Правило маршрутизации с нулевыми маской и адресом назначения отображает


маршрут по умолчанию.
Внимание! Если маршрут по умолчанию связывает сетевое устройство с ЦУС, то после его из-
менения соединение устройства с ЦУС становится невозможным. В этом случае требуется запись но-
вой конфигурации на носитель и повторная инициализация сетевого устройства.
Нулевой адрес в столбце "Следующий узел" указывает, что данная подсеть до-
ступна напрямую через интерфейс, без промежуточных маршрутизаторов.

Для настройки правил маршрутизации:


1. Перейдите к настройке параметров маршрутизации (см. стр. 71).

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 72
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

При необходимости переключите вкладку на соответствие режиму ста-


тической маршрутизации (см. стр. 71).
2. Определите параметры правил.
• Чтобы добавить запись в список правил маршрутизации, нажмите кнопку
"Добавить", укажите протокол (IPv4 или IPv6) и введите адрес и маску
(префикс) для данной сети. Если защищаемая сеть подсоединена к се-
тевому устройству через маршрутизатор, в поле "Следующий узел" ука-
жите адрес этого маршрутизатора. Затем нажмите кнопку "OK".
Введенные данные появятся в списке правил маршрутизации.
• Для изменения записи в списке правил маршрутизации выберите нуж-
ную строку. Параметры выбранного правила будут отображены в полях,
расположенных под списком. Внесите необходимые изменения и наж-
мите кнопку "Изменить".
• Чтобы удалить запись из списка правил маршрутизации, выберите нуж-
ную строку и нажмите кнопку "Удалить". Выбранная запись будет уда-
лена немедленно.
Изменения в настройках таблицы маршрутизации применяются немедленно.

Динамическая маршрутизация
Динамическая маршрутизация не поддерживается в следующих случаях:
• включен режим привязки маршрутизаторов к MAC-адресам (см. стр. 26);
• включен один из режимов Multi-WAN (см. стр. 64).
Для поддержки протоколов динамической маршрутизации необходимо сфор-
мировать конфигурационный файл zebra.conf, а также конфигурационные
файлы используемых протоколов (ospfd.conf, bgpd.conf, ripd.conf).
Внимание! Поддерживаются следующие версии протоколов:
• OSPF — версия 2;
• BGP — версия 4;
• RIP — версия 1, версия 2.
Настройку динамической маршрутизации выполняют в следующем порядке:
• создание конфигурационного файла (см. стр. 139);
• настройка параметров динамической маршрутизации (см. ниже).

Для настройки параметров:

Внимание! Для стабильной работы сетевого устройства рекомендуется настройку параметров ди-
намической маршрутизации оптимизировать таким образом, чтобы количество маршрутов в таблице
маршрутизации не превышало лимит, указанный в паспорте сетевого устройства.
1. Перейдите к настройке параметров маршрутизации (см. стр. 71 ) и при
необходимости переключите вкладку на соответствие режиму динамической
маршрутизации.
2. Определите параметры правил маршрутизации:
• Загрузите конфигурационный файл zebra.conf. Для этого используйте
кнопку справа от поля "Конфигурация zebra" или введите в поле текст
конфигурационного файла вручную.
• Откройте вкладку нужного протокола и загрузите для него конфи-
гурационный файл. Для этого используйте кнопку , расположенную
справа, или введите текст конфигурационного файла вручную.
3. Нажмите кнопку "Применить".
Сетевому устройству будет отправлена команда на загрузку в ЦУС списка
маршрутов, и в ЦУС начнется обновление информации о сетевом устройстве.
Примечание. Подтверждение о ходе выполнения команды отображается в очереди заданий
(см. стр. 78).

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 73
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

После завершения обновления из ЦУС в ПУ поступит список маршрутов дан-


ного сетевого устройства, который отобразится в разделе "Информация о
маршрутах". Кнопка прерывания обновления заменится на кнопку обнов-
ления списка маршрутов.
Внимание! При достаточно большом количестве маршрутов обновление информации на ЦУС
может потребовать дополнительного времени. При этом кнопка прерывания обновления в тече-
ние примерно 50 секунд будет недоступна. Если в просмотре информации о маршрутах нет
необходимости, откажитесь от обновления. Для этого нажмите кнопку прерывания обновления.
4. Если необходимо сохранить в виде текстового файла информацию о марш-
рутах или конфигурациях, используйте кнопку , расположенную справа
от соответствующего раздела.
Внимание! После закрытия окна свойств сетевого устройства информация о маршрутах, отоб-
ражаемая на вкладке "Маршрутизация", не сохраняется. При следующем открытии окна на
вкладке "Маршрутизация" раздел "Информация о маршрутах" будет пустым.

Определение классов трафика


Для определения класса трафика:
1. В левой части окна программы управления выберите папку "Центр управ-
ления сетью> Классы трафика".
В правой части окна отобразится перечень классов трафика.
Примечание. Класс трафика "Нормальный" создается автоматически при инициализации ЦУС.
2. В списке классов трафика вызовите контекстное меню и активируйте нуж-
ную команду:

Создать Вызывает окно для регистрации нового класса трафика

Свойства Вызывает окно свойств класса для редактирования выбранной записи

3. Заполните поля параметров и нажмите кнопку "OK":

Название Наименование класса трафика

Описание Произвольный текстовый комментарий (необязательный


параметр)

Приоритет Очередность обработки IP-пакета, отнесенного к данному


шифрования классу, блоком криптографической защиты. Возможные
значения 0–31. Большему значению соответствует более
высокий приоритет

Порт внешнего Порт внешнего интерфейса, с которого отправляются IP-пакеты


интерфейса для данного класса
зашифрованного
трафика

Не менять Сохраняет значение поля ToS у исходящего IP-пакета таким же,


как у входящего

Установить Назначает исходящему IP-пакету значение поля ToS, указанное


значение ниже

Bin/Hex Отображает назначаемое значение поля ToS в двоичном или


шестнадцатеричном виде

Код DSCP (биты 1 Определяет значение поля ToS по шестибитному


– 6) классификатору DSCP. Возможные значения 0–63

Приоритет (биты 1 Определяет первые три бита значения поля ToS по


– 3) классификатору IPP. Возможные значения 0–7

Низкая задержка Определяет четвертый бит значения поля ToS. Наличие отметки
указывает режим низкой задержки

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 74
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Высокая Определяет пятый бит значения поля ToS. Наличие отметки


пропускная указывает режим высокой пропускной способности
способность

Высокая Определяет шестой бит значения поля ToS. Наличие отметки


надежность указывает режим высокой надежности

Управление приоритизацией трафика


Окно управления QoS
Настройку очереди на отправку для КШ и КК выполняют в окне свойств сетевого
устройства на вкладке "Управление QoS".

На вкладке отображается иерархический список сетевых интерфейсов данного


устройства и действующих на них очередей. Для формирования очередей исполь-
зуйте кнопки:

Кнопка Описание

Импорт… Запускает процедуру импорта конфигурации очередей из XML-файла

Экспорт… Формирует XML-файл для переноса конфигурации очередей на другое


устройство

Добавить Вызывает на экран окно для настройки параметров новой очереди


очередь…

Удалить Удаляет выбранную очередь


очередь

Изменить… Вызывает на экран окно для настройки параметров выбранного


интерфейса или очереди

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 75
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Настройка общих параметров очереди на интерфейсе


Для настройки общих параметров очереди:
1. На вкладке "Управление QoS" окна свойств сетевого устройства выберите
нужный сетевой интерфейс и нажмите кнопку "Изменить…".
На экране появится окно параметров интерфейса.
2. Заполните поля параметров и нажмите кнопку "OK":

Тип приоритизации Метод обработки очереди (нет/PRIQ/CBQ/HFSC)

Полоса пропускания, Кбит/с Общая пропускная способность данного интерфейса.


0 — максимально возможная

Настройка параметров очереди


Для настройки очереди:
1. На вкладке "Управление QoS" окна свойств сетевого устройства выберите
нужный интерфейс и нажмите кнопку "Добавить очередь…".
Примечание. Добавление очереди возможно лишь на интерфейсе с установленным управ-
лением очередями.
На экране появится окно для настройки свойств очереди. Вид окна зависит от
выбранного типа приоритизации (см. стр. 76).
2. Заполните поля параметров и нажмите кнопку "OK".

КШ/КК Наименование сетевого устройства (недоступно для изменений)

Интерфейс Наименование интерфейса (недоступно для изменений)

Общая полоса Общая пропускная способность данного интерфейса. 0 —


пропускания, максимально возможная (недоступно для изменений)
Кбит/с

Тип Метод обработки очереди (недоступно для изменений)


приоритизации

Название Наименование очереди


очереди

Очередь по При наличии отметки данная очередь назначается очередью по


умолчанию умолчанию. В эту очередь будут попадать IP-пакеты, для которых
очереди не определены

Классы Перечень классов трафика, включаемых в данную очередь. Для


трафика формирования списка используйте кнопки "Добавить…" и
"Удалить"

Полоса Доля общей полосы пропускания, выделенная для данной очереди,


пропускания, в процентах (только для CBQ)
%

Увеличить по Установка отметки включает механизм заимствования общей полосы


возможности пропускания в случае неиспользования ее другими очередями
(borrow) (только для CBQ)

realtime, % Доля общей полосы пропускания, выделенная для режима realtime,


в процентах (только для HFSC)

upperlimit, % Максимальная доля общей полосы пропускания, в процентах


(только для HFSC)

linkshare, % Доля общей полосы пропускания, выделенная для режима


linkshare, в процентах (только для HFSC)

Приоритет Последовательность обработки очередей. Возможные значения 0–7


для CBQ и HFSC, 0–15 для PRIQ. Большему значению соответствует
более высокий приоритет

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 76
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Защита от Установка отметки включает указанный механизм защиты от


перегрузок перегрузок (RED, RIO, ECN)

Экспорт/импорт конфигурации очередей


Для переноса настроек на другие сетевые устройства имеется возможность экс-
порта/ импорта конфигурации очередей на сетевых интерфейсах с помощью
файла XML.

Для экспорта конфигурации:


1. Перейдите к вкладке "Управление QoS" и нажмите кнопку "Экспорт…".
На экране появится стандартное окно ОС Windows для сохранения файла.
2. Выберите папку, укажите название файла и нажмите кнопку "Сохранить".

Для импорта конфигурации:


1. Перейдите к вкладке "Управление QoS" и нажмите кнопку "Импорт…".
На экране появится стандартный окно ОС Windows для открытия файла.
2. Выберите нужные папку и файл и нажмите кнопку "Открыть".
На экране появится окно "Импорт настроек QoS".
В левой части окна представлен перечень интерфейсов сетевого устройства,
в правой части отображается импортируемая конфигурация очередей.
3. Сопоставьте интерфейсам сетевого устройства названия интерфейсов им-
портируемой конфигурации. С этой целью для каждого значения в поле "Ин-
терфейс на <сетевом устройстве> " выберите нужное значение из
раскрывающегося списка в поле "Интерфейс из XML".
4. Нажмите кнопку "OK".
На вкладке "Управление QoS" отобразится импортированная конфигурация
очередей.

Управление списком связанных сетевых устройств


Перечень сетевых устройств, с которыми данное устройство должно уста-
навливать защищенные соединения, определяется списком связанных сетевых
устройств. В этом случае трафик между сетевыми устройствами за-
шифровывается, в противном случае нет.
Если КШ с ЦУС в пассивном режиме имеет парные связи с другими устройствами,
то в ходе синхронизации БД ЦУС при получении актуальной БД произойдет уда-
ление ключей этих связей. Ключи автоматически восстановятся, но в это время
возможны перерывы в прохождении шифрованного трафика. В связи с этим не
рекомендуется создавать парные связи на устройствах в пассивном режиме.
Внимание! При резервировании ЦУС не рекомендуется создавать парные связи на КШ с ЦУС во из-
бежание потери части шифрованного трафика на этих устройствах.
Количество защищенных соединений (VPN- каналов) для каждой пары свя-
занных сетевых устройств соответствует количеству зарегистрированных в си-
стеме классов трафика (см. стр. 74 ). Состояние VPN-каналов отображается в
разделе "Центр управления сетью" области объектов управления.

Для формирования списка связанных сетевых устройств:


1. В окне свойств устройства перейдите к вкладке "Связи".

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 77
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

В этом окне осуществляют формирование списка связанных сетевых


устройств, а также настройку параметров соединений с ними. В поле "Время"
отображается время установки ключа парной связи, на котором осущес-
твляется криптографическое соединение с этим устройством.
Изменения в данном окне вступают в силу сразу после их внесения.
2. Сформируйте список связанных сетевых устройств.
Чтобы переместить имя устройства из одного списка в другой, выберите его с
помощью мыши в исходном списке. Для выбора нескольких элементов
используйте клавиши <Shift> и <Ctrl>. Перемещайте выбранные элементы
из списка в список с помощью кнопок "<", "<<" и ">", ">>".
3. Укажите нужный режим сжатия передаваемых IP-пакетов. Для этого выбе-
рите в перечне связанных устройств нужное устройство и заполните поле:

Степень Содержит значения от "1" до "9" и "Выключено". При переходе от режима


сжатия "1" к режиму "9" степень сжатия IP-пакетов увеличивается и,
пакетов соответственно, увеличивается время сжатия. При выборе значения
"Выключено" сжатие IP-пакетов не осуществляется.
Данная настройка к криптокоммутаторам не применяется

4. Нажмите кнопку "OK" для сохранения изменений.


Аналогичная запись автоматически дополнит список связанных сетевых
устройств другого — добавленного — устройства. С этого момента данные се-
тевые устройства могут устанавливать между собой защищенное соединение.
Внимание! Параметры сжатия IP-пакетов каждого из двух устройств, составляющих пару вза-
имодействующих устройств, настраиваются отдельно и могут не совпадать.

Управление очередью заданий


С помощью ПУ ЦУС можно просмотреть и изменить очередь заданий любого се-
тевого устройства комплекса. Очередь заданий сетевого устройства содержит
список текущих заданий, которые сформированы для устройства, но еще не вы-
полнены.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 78
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Для просмотра очереди заданий:


• Выберите в области объектов управления нужное устройство и перейдите к
вкладке "Очередь заданий" дополнительного окна.
На этой вкладке отображается список текущих заданий данного сетевого устрой-
ства. Этот список будет пуст, если все текущие задания выполнены.
Список заданий, составляющих очередь, отображается в форме таблицы, каждая
строка которой соответствует одному заданию.

Табл.9 Перечень полей списка заданий

Поле Описание

Описание Наименование задания

Время ожидания Интервал времени, прошедший с момента формирования задания

Режим изолированной сети


Предусмотрен режим изоляции криптошлюзов от внешней среды, при котором
ни одно из сетевых устройств, входящих в криптографическую сеть ЦУС, не бу-
дет пропускать через свои внешние интерфейсы открытый трафик. По умол-
чанию режим изолированной сети выключен.
Внимание! Режим изолированной сети не может быть включен, если в сети:
• зарегистрированы сетевые устройства с установленным АПКШ "Континент" версии ниже 3.7;
• зарегистрированы КШ с установленным СД;
• установлены связи со сторонними криптографическими сетями.
При включенном режиме изолированной сети действуют следующие огра-
ничения:
• На внешних интерфейсах сетевого устройства разрешены только управ-
ляющий трафик и трафик, передаваемый между связанными сетевыми
устройствами (см. стр. 77).
• В режиме Multi-WAN функция тестирования каналов недоступна.
• Запрещена отправка во внешнюю сеть DNS- и NTP-запросов.
• В дополнительном меню локального управления сетевого устройства (см. стр.
30 ) команды "Выполнить ping" и "Выполнить traceroute" с адресами, при-
надлежащими внешним сетям, выполняться не будут.
• Динамическая адресация на внешних интерфейсах сетевого устройства не
используется.
• Пакеты от DHCP-ретранслятора с внешнего интерфейса КШ не отправляются.

Для включения/выключения режима изолированной сети:


1. Вызовите контекстное меню раздела "ЦУС" области объектов управления и
выберите команду "Свойства".
Появится окно "Свойства ЦУС".
2. Установите или удалите отметку в поле "Режим изолированной сети" и наж-
мите кнопку "OK".

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 79
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

В результате выполнения процедуры на всех сетевых устройствах будет уста-


новлен режим, соответствующий выполненному действию, и автоматически
будут обновлены правила фильтрации.

Установка времени на ЦУС


Правильную текущую дату и время на ЦУС можно установить вручную или
использовать режим синхронизации с NTP-серверами точного времени.
Для задания режима синхронизации с NTP-сервером необходимо указать его DNS
или IP-адрес. Синхронизация с NTP-сервером осуществляется каждый час. Преду-
смотрена возможность задать список серверов точного времени. В этом случае
для синхронизации автоматически выбирается наиболее точный из них.
Для NTP-сервера, работающего под управлением ОС Windows, должны быть уста-
новлены следующие значения параметров реестра:
• regedit SYSTEM\CurrentControlSet\Services\W32Time\Config\LocalClockDisper-
sion = 0
• regedit SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
=5

Для установки времени на ЦУС:


1. Вызовите контекстное меню раздела "ЦУС" области объектов управления и
выберите команду "Свойства".
Появится окно "Свойства ЦУС".
2. Перейдите на вкладку "Дата и время".

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 80
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

На вкладке отображаются:
• текущая дата и время для часового пояса КШ с ЦУС;
• поле включения или отключения режима синхронизации с NTP- сер-
верами;
• список NTP-серверов (если режим включен).
3. Для установки даты и времени вручную удалите отметку в поле "Син-
хронизация времени через NTP" (если она установлена) и нажмите кнопку
"Изменить дату и время...".
Появится окно настройки даты и времени.
4. Введите дату и время и перейдите к п. 8.
5. Для задания режима синхронизации установите отметку в поле "Син-
хронизация времени через NTP".
Станет доступной кнопка "Добавить".
6. Нажмите кнопку "Добавить".
На экране появится окно для ввода адреса NTP-сервера.
Введите адрес NTP-сервера и нажмите кнопку "OK".
Примечание. Допускается ввод как IP-адреса NTP-сервера, так и его сетевого имени. Если вво-
дится сетевое имя, в свойствах КШ с ЦУС необходимо указать DNS-сервер (см. ниже).
Окно ввода адреса закроется и NTP-сервер будет добавлен в список.
7. При необходимости добавьте в список другие серверы.
Для работы со списком используйте кнопки, расположенные справа.
8. Для сохранения выполненных изменений нажмите кнопку "OK".

Настройка DNS
Для настройки списка DNS-серверов:
1. Вызовите окно свойств КШ с ЦУС и выберите вкладку "DNS".

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 81
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

На вкладке отображается список DNS- серверов, упорядоченный по убы-


ванию приоритета.
2. Для добавления нового сервера в список нажмите кнопку "Добавить".
На экране появится окно ввода IP-адреса.

3. Выберите протокол (IPv4 или IPv6), введите IP-адрес и нажмите кнопку "OK".
Указанный адрес появится в списке DNS-серверов.
4. При необходимости добавьте другие DNS-серверы и упорядочьте список в
соответствии с приоритетами серверов с помощью кнопок и , рас-
положенных справа.
Для удаления или изменения адреса выбранного в списке сервера исполь-
зуйте кнопки "Удалить" и "Изменить..." соответственно.
5. Для сохранения выполненных изменений нажмите кнопку "OK".

Настройка дистанционного доступа по протоколу SSH


Для доступа по протоколу SSH необходимо настроить учетную запись админи-
стратора и добавить его удаленный IP-адрес в список разрешенных IP-адресов со-
ответствующего сетевого устройства.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 82
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Для предоставления администратору права дистанционного доступа:


1. В ПУ ЦУС создайте новую учетную запись локального администратора КШ (см.
стр. 42) или перейдите к уже созданной записи.

2. В свойствах учетной записи администратора выберите требуемые сетевые


устройства и установите отметку в поле "Удаленный терминал", затем наж-
мите кнопку "ОК".
Совет. Для выбора нескольких устройств допустимо использовать клавиши "Ctrl", "Shift" и/или
мышь.

Для формирования списка разрешенных IP-адресов:


1. Вызовите окно свойств сетевого устройства, перейдите к вкладке "Уда-
ленный терминал"и установите отметку в поле "Включить сервис удаленного
терминала".

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 83
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

2. Выберите в поле адреса принимающего соединения IP-адрес требуемого ин-


терфейса управления, затем укажите порт принимающего соединения.
3. Сформируйте список IP-адресов, имеющих административный доступ к этому
сетевому устройству по протоколу SSH, используя кнопки "Добавить" и "Уда-
лить".
4. Нажмите кнопку "ОК".

Диагностика сетевого устройства


Для диагностики работы сетевого устройства в ПУ ЦУС:
1. Выберите в области объектов управления тип устройства, затем вызовите
контекстное меню требуемого устройства и выберите команду диагностики
сетевого устройства.
На экране появится окно диагностики сетевого устройства.

2. Выберите требуемую вкладку, при необходимости укажите необходимые дан-


ные и нажмите кнопку "Выполнить" или "Получить".

Вкладка Описание

Ресурсы <сетевого Информация о ресурсах сетевого устройства:


устройства> • загруженность каждого процессора;
• общий, используемый и свободный объем оперативной
памяти;
• отчет по использованию дискового пространства;
• сведения о заполненности журналов

Arp/ndp Содержимое ARP- и NDP-кеша сетевого устройства

Ping* Результаты выполнения команды ping на сетевом устройстве.


(только для КШ) Необходимо предварительно указать IP-адрес, соединение с
которым необходимо проверить, и количество тест-пакетов

Traceroute* Результаты выполнения команды traceroute на сетевом


(только для КШ) устройстве. Необходимо предварительно указать IP-адрес
назначения и максимальное количество "прыжков"

Tcpdump Информация о сетевом трафике на определенном интерфейсе.


Необходимо предварительно выбрать интерфейс, фильтр в
формате команды tcpdump и количество пакетов трафика для
просмотра.
Для сетевого устройства, выведенного из эксплуатации, также
доступно выполнение команды tcpdump в двоичном коде для
последующего сохранения и просмотра в
специализированном приложении

Таблица состояний Сведения о максимальном количестве возможных сетевых


(только для КШ) соединений на сетевом устройстве и таблица состояний (см.
[3]). Необходимо предварительно выбрать версию протокола
IP.

Сетевые соединения Сведения об открытых сетевых соединениях

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 84
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Вкладка Описание

Шифратор Статистическая информация о работе шифратора


(только для КШ)

Технологический Технологический отчет для отправки в службу поддержки.


отчет При нажатии кнопки "Выполнить" — формирование отчета.
При нажатии кнопки "Сохранить" откроется стандартное окно
ОС Windows для сохранения файла отчета.

Отладочный жур- Отладочный журнал для отправки в службу поддержки.


нал** При нажатии кнопки "Получить" — формирование журнала.
При нажатии кнопки "Сохранить" откроется стандартное окно
ОС Windows для сохранения файла журнала.

Примечание.
* Для выполнения команд ping и traceroute на сетевом устройстве автоматически
создаются временные правила фильтрации, разрешающие прохождение соответствующих
пакетов.
** Для получения отладочного журнала необходимо предварительно определить какой уровень
детализации служебных сообщений он будет содержать (см. ниже).

Обращение в техподдержку
При неполадках в работе сетевого устройства, требующих вмешательства со сто-
роны разработчика, может потребоваться передача соответствующих тех-
нологических отчетов и отладочных журналов. Перед формированием
отладочного журнала необходимо определить какой уровень детализации слу-
жебных сообщений он будет содержать.

Для определения состава отладочного журнала:


1. В окне свойств требуемого сетевого устройства перейдите к вкладке "Жур-
налы".
2. Установите отметку в поле "Уровень детализации" и выберите требуемый уро-
вень в выпадающем списке. Уровень отладочных сообщений содержит пол-
ный перечень всех произошедших событий, уровень ошибок — только
сообщения об ошибках.
3. Нажмите кнопку "OK".

Для формирования отладочного журнала:


1. Выберите требуемый тип устройства в области объектов управления, затем
вызовите контекстное меню проблемного сетевого устройства и выберите ко-
манду его диагностики.
На экране появится окно диагностики сетевого устройства.
2. Выберите вкладку "Отладочный журнал", нажмите кнопку "Получить" и до-
ждитесь окончания процедуры формирования отладочного журнала.
3. Нажмите кнопку "Сохранить".
На экране появится стандартное окно ОС Windows для сохранения файла жур-
нала. Файл журнала по умолчанию получает имя systemLog_ DDMMYYYY_
HHMMSS.txt, где DDMMYYYY_HHMMSS - дата и время его создания.
4. Сохраните файл и отправьте его разработчику по доверенному каналу.

Для формирования технологического отчета:


1. Выберите требуемый тип устройства в области объектов управления, затем
вызовите контекстное меню проблемного сетевого устройства и выберите ко-
манду его диагностики.
На экране появится окно диагностики сетевого устройства.
2. Выберите вкладку "Технологический отчет", нажмите кнопку "Выполнить" и
дождитесь окончания процедуры формирования отладочного журнала.
3. Нажмите кнопку "Сохранить".

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 85
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

На экране появится стандартное окно ОС Windows для сохранения файла от-


чета. Файл отчета по умолчанию получает имя debug_ report_ DDMMYYYY_
HHMMSS.dump, где DDMMYYYY_HHMMSS - дата и время его создания.
4. Сохраните файл и отправьте его разработчику по доверенному каналу.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 86
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Глава 5
Управление пользователями
Управление списком пользователей
Для вызова списка:
• В области объектов управления программы управления выберите пункт
"Центр управления сетью> Пользователи".
В правой части окна отобразится список зарегистрированных пользователей.
Список пользователей отображается в форме таблицы, каждая строка которой
соответствует одной учетной записи. Перечень полей, отображаемых в списке, и
их описание представлены в таблице ниже.

Табл.10 Перечень полей списка пользователей

Поле Описание

Имя Имя пользователя, зарегистрированное в комплексе

Описание Произвольный текстовый комментарий

Логин Имя пользователя для идентификации с помощью программы "Клиент


аутентификации пользователя"

Заблокирован При наличии отметки учетная запись пользователя заблокирована

Для регистрации пользователя:


1. Выполните одно из следующих действий:
• вызовите контекстное меню в любом месте списка пользователей и акти-
вируйте команду "Создать пользователя";
• нажмите на панели инструментов кнопку "Пользователь".
На экране появится окно "Пользователь".
2. Настройте параметры учетной записи и нажмите кнопку "OK".

Имя Имя пользователя, отображаемое в списке пользователей

Описание Дополнительные сведения (необязательный параметр)

Логин Имя пользователя для идентификации с помощью программы


"Клиент аутентификации пользователя"

Пароль Пароль пользователя для аутентификации с помощью программы


"Клиент аутентификации пользователя". Пароль должен
Подтверждение удовлетворять требованиям политики аутентификации
пароля администраторов (см. стр. 42)

Заблокирован Установка отметки блокирует учетную запись без удаления ее из


списка

Вкладка "Членство в группах" предназначена для ознакомления с перечнем


групп, в которые входит пользователь. Для редактирования этого перечня
используйте кнопки "Добавить..." и "Удалить", расположенные справа от не-
го.

Для изменения параметров учетной записи:


1. Выберите нужную учетную запись и выполните одно из следующих дей-
ствий:
• активируйте в контекстном меню команду "Свойства…";
• нажмите на панели инструментов кнопку "Свойства".
На экране появится окно "Пользователь".

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 87
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

2. Настройте и сохраните параметры учетной записи. Порядок настройки пара-


метров см. выше.

Для удаления пользователя:


• Выберите одну или несколько учетных записей в списке и нажмите кнопку
"Удалить" на панели инструментов (либо клавишу <Delete>). Для выбора
нескольких элементов используйте клавиши <Shift> и <Ctrl>.

Для создания группы пользователей:


1. Выполните одно из следующих действий:
• вызовите контекстное меню в любом месте списка пользователей и акти-
вируйте команду "Создать группу пользователей...";
• нажмите на панели инструментов кнопку "Группа пользователей".
На экране появится окно "Группа пользователей".
2. Настройте параметры группы и нажмите кнопку "OK".

Название Наименование группы

Описание Дополнительные сведения (необязательный параметр)

Размещение* Наименование зарегистрированного сетевого объекта, с которым


будет связана группа

Пользователи Перечень пользователей, входящих в данную группу. Для


формирования списка используйте кнопки "Добавить..." и "Удалить"

Примечание. Группе пользователей с помощью правил фильтрации IP-пакетов и правил транс-


ляции сетевых адресов предоставляют доступ к определенным сетевым ресурсам или трафику.
Доступ, предоставляемый этой группе, действует только на компьютерах, относящихся к свя-
занному с группой сетевому объекту.
В области объектов управления в разделе "Пользователи" появится пункт с
названием созданной группы. При выборе этого пункта в области отоб-
ражения информации отобразится перечень пользователей, входящих в груп-
пу.

Для изменения параметров группы пользователей:


1. Выберите в области объектов управления нужную группу пользователей и
активируйте в контекстном меню команду "Свойства...".
На экране появится окно "Группа пользователей".
2. Настройте и сохраните параметры группы (см. выше).

Для удаления группы пользователей:


• Выберите в области объектов управления нужную группу пользователей и
активируйте в контекстном меню команду "Удалить группу пользователей..."
(либо нажмите клавишу <Delete>).

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 88
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Глава 6
Управление криптографическими ключами
Управление осуществляется в одном из двух режимов (см. [1]):
• по однолетней схеме распределения ключей;
• по трехлетней схеме распределения ключей.
По умолчанию при вводе комплекса в эксплуатацию задается режим управления
ключами по однолетней схеме распределения ключей. После запуска ПУ ЦУС и в
процессе эксплуатации комплекса режим можно изменить.

Для изменения режима управления ключами:

Внимание! После каждого изменения режима управления ключами необходимо выполнить смену
ключей для всех сетевых устройств, входящих в состав комплекса.
1. Активируйте в контекстном меню раздела "Центр управления сетью" команду
"Свойства...".
Появится окно "Свойства ЦУС" (см. стр. 79).
2. В разделе "Режим управления ключевой информацией" выберите нужный ре-
жим и нажмите кнопку "OK".

Однолетняя схема распределения ключей


Генерацию ключей и их распределение по узлам сети выполняют в соответствии
с общим порядком ввода комплекса в эксплуатацию.
По истечении срока действия ключей необходимо осуществить смену ключей
(см. ниже). Кроме того, смену ключей выполняют в случае их компрометации.
При выполнении операций смены ключей, описанных в данном разделе, не ре-
комендуется производить каких-либо действий по управлению сетевым устрой-
ством до завершения синхронизации с БД ЦУС.

Общий порядок смены ключей


Смену ключей шифрования осуществляют периодически в соответствии с при-
нятым планом смены ключей, а также в случае компрометации ключей.
Примечание. Смена ключей на КШ с ЦУС средствами ПУ ЦУС невозможна. Главный ключ и ключ
связи с ЦУС меняется на КШ с ЦУС средствами локального управления (см. стр. 25).
Общий порядок смены ключей:
1. Обновление исходной ключевой информации. Выполняют до истечения сро-
ка действия ключа сетевого устройства исходя из оперативности процедуры
рассылки ключевого материала локальным администраторам. Исходную клю-
чевую информацию загружают на ЦУС средствами локального управления
(см. стр. 24).
2. Генерация нового ключевого материала для сетевого устройства (см. стр.
90). Ключи нумеруют и учитывают в журнале выпуска ключей. Для каждого
сетевого устройства выпускают несколько комплектов ключей. Срок дейст-
вия каждого ключа — один год.
Примечание. Ключевой материал используют для смены следующих ключей сетевого устрой-
ства:
• главный ключ сетевого устройства;
• ключ связи с ЦУС.
3. Рассылка сгенерированного ключевого материала локальным администрато-
рам средствами спецсвязи.
4. Смена ключей сетевых устройств средствами программы управления ЦУС и
локального управления сетевыми устройствами (см. стр. 90).

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 89
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Примечание. На данном этапе выполняется смена следующих ключей сетевого устройства:


• главный ключ сетевого устройства;
• ключ связи с ЦУС.
5. Смена ключей парной связи сетевых устройств (см. стр. 91).
Порядок действий при смене ключей в зависимости от требуемой процедуры
представлен в таблице ниже.

Табл.11 Порядок действий при смене ключей

Причина Действия

Компрометация исходной ключевой информации или Выполните пп. 1-5 общего


окончание срока действия ключей порядка смены ключей

Компрометация ключевого материала сетевого Выполните пп. 2-5 общего


устройства порядка смены ключей

Компрометация ключей одного или нескольких сетевых Выполните пп. 4-5 общего
устройств порядка смены ключей

Генерация ключевого материала


Ключевой материал создают средствами ПУ ЦУС.

Для генерации ключевого материала:


1. В области объектов управления выберите требуемый тип сетевых устройств,
вызовите контекстное меню требуемого сетевого устройства и активируйте
команду создания резервных ключей.
На экране появится стандартное окно для ввода пароля. Этот пароль служит
для защиты ключевого материала от несанкционированного доступа.
2. Введите пароль (не менее 4 символов, удовлетворяющий требованиям по-
литики аутентификации администраторов (см. стр. 42 )), подтвердите его и
нажмите кнопку "OK".
На экране появится окно выбора каталога, предназначенного для сохра-
нения ключевого материала.
3. Выберите нужный каталог и нажмите кнопку "Сохранить".
Резервный ключевой материал будет сохранен в файле keyset. На экране поя-
вится сообщение "Резервный комплект ключей сохранен".
4. Закройте сообщение, нажав кнопку "OK".

Cмена ключей сетевого устройства


Автоматическая смена ключей сетевого устройства
Автоматическая смена ключей выполняется в соответствии с заданным распи-
санием.

Для настройки расписания:


1. Aктивируйте в контекстном меню раздела "Центр управления сетью" команду
"Настройка смены ключей сетевых устройств по расписанию…".
На экране появится соответствующее окно.
2. Заполните поля параметров и нажмите кнопку "OK".

Автоматически менять ключи на Установка отметки включает режим


всех сетевых устройствах автоматической смены ключей

Начиная с Начало действия расписания

Повторять смену ключей через Период времени, через который выполняется


автоматическая смена ключей

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 90
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Время, отводимое на смену Период времени, отведенный на смену ключей


ключей

Блокировать трафик через При наличии отметки зашифрованный трафик


сетевые устройства с истекшим через сетевые устройства, у которых истек срок
сроком действия ключей действия ключей, блокируется

Примечание. Не рекомендуется устанавливать длительный период времени, отводимый на


смену ключей. Во время смены ключей управление сетевым устройством средствами
централизованного управления невозможно.

Принудительная смена ключей сетевого устройства


Для смены ключей сетевого устройства:
1. Выберите в списке нужное сетевое устройство и активируйте в контекстном
меню команду смены ключей.
Примечание. Возможен множественный выбор объектов.
На экране появится окно смены комплекта ключей.
2. Укажите время, отводимое на смену ключей, и нажмите кнопку "Да".

Для смены ключей группы сетевых устройств:


1. Выберите в области объектов управления нужную группу сетевых устройств
и активируйте в контекстном меню команду "Сменить ключи всех устройств в
группе…".
Примечание. Возможен множественный выбор объектов.
На экране появится окно смены комплекта ключей сетевых устройств.
2. Укажите время, отводимое на смену ключей, и нажмите кнопку "Да".

Для смены ключей всех сетевых устройств:


1. Выберите в области объектов управления раздел "ЦУС" и активируйте в
контекстном меню команду "Сменить ключи всех сетевых устройств…".
На экране появится окно смены комплекта ключей сетевых устройств.
2. Укажите время, отводимое на смену ключей, и нажмите кнопку "Да".

Смена ключей парных связей КШ


При смене ключей парных связей КШ защищенные соединения, установленные
на старых ключах, автоматически разрываются и затем создаются уже на новых
ключах. В результате кратковременного разрыва соединения возможны потери
трафика.

Для смены ключей парной связи:


1. Выберите в области объектов управления подраздел "Сетевые устройства
Континент|Криптошлюзы", вызовите контекстное меню требуемого устрой-
ства и активируйте команду "Сменить все ключи парных связей КШ...".
Примечание. Команда "Сменить все ключи парных связей КШ" недоступна при пустом списке
связанных сетевых устройств.
На экране появится запрос на подтверждение смены ключей.
2. Нажмите кнопку "Да".
На экране появится сообщение "Ключи парной связи изменены".
3. Закройте сообщение, нажав кнопку "OK".

Запись ключей сетевого устройства на носитель


Данная операция выполняется для последующей инициализации сетевого
устройства комплекса.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 91
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Для записи ключей:


1. Предъявите носитель для записи ключей.
2. В основном окне программы управления в контекстном меню за-
регистрированного сетевого устройства активируйте команду "Сохранить те-
кущие ключи на носитель...".
На экране появится окно назначения пароля.
3. Введите и подтвердите пароль.
Внимание! Пароль должен удовлетворять требованиям политики аутентификации админи-
страторов (см. стр. 42). В противном случае кнопка "OK" в окне назначения пароля будет неак-
тивной.
На экране появится стандартный окно ОС Windows для выбора каталога хра-
нения ключей.
4. Укажите в качестве каталога предъявленный носитель.
В результате успешной записи ключей на носитель появится сообщение "Те-
кущие ключи сетевого устройства сохранены".

Трехлетняя схема распределения ключей


При трехлетней схеме распределения ключи вырабатываются с помощью АРМ
ГК. Данный процесс происходит в отдельном помещении с ограниченным до-
ступом на выделенном рабочем месте, не имеющем сетевых соединений. Ключи
создаются на внешних носителях (Рутокен ЭЦП, USB-флеш-накопитель), фор-
мирующих ключевой комплект.
Трехлетняя схема распределения ключей базируется на нескольких этапах:
1. Первичная подготовка ключевого комплекта на АРМ ГК (см. [7]).
2. Доставка носителей ключевого комплекта на сетевые устройства, загрузка
соответствующих ключей связи с ЦУС с помощью локального управления
(см. стр. 25).
Примечание. Доставка должна осуществляться по доверенному каналу.
3. Смена режима управления ключевой информацией посредством ПУ ЦУС (см.
стр. 89).
4. Распределение ключей по сетевым устройствам посредством ПУ ЦУС (см. стр.
94).
Внимание! Повторное назначение ключа запрещено.
5. Активация ключей посредством ПУ ЦУС (см. стр. 96).
6. В конце каждого года эксплуатации — генерация и смена ключей сетевых
устройств:
• Перевыпуск ключей сетевых устройств на АРМ ГК (см. [7]).
• Доставка носителя ключей на РМ администратора ЦУС.
Примечание. Доставка должна осуществляться по доверенному каналу.
• Назначение ключей сетевым устройствам посредством ПУ ЦУС (см. стр.
94).
• Пересылка ключей сетевым устройствам посредством ПУ ЦУС (см. стр.
97).
Примечание. В случае разрыва сети между сетевым устройством и ЦУС допустимо экс-
портировать ключ этого сетевого устройства (см. стр. 100 ) и осуществить доставку по до-
веренному каналу.
• Загрузка пересланной ключевой информации на сетевых устройствах
(см. стр. 25).
• Активация ключей посредством ПУ ЦУС (см. стр. 96).
• Смена ключей парной связи сетевых устройств (см. стр. 91).

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 92
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

По истечении трех лет с даты первичной генерации ключевого комплекта необ-


ходимо выполнить ее заново. Для продолжения работы необходимо подготовить
новые ключевые носители и начать цикл с выпуска нового ключевого комплекта
на АРМ ГК.

Мастер управления ключами


Для управления ключами сетевых устройств предусмотрены следующие опе-
рации:
• назначение ключей сетевым устройствам (без загрузки ключей в БД ЦУС);
• удаление ключей из БД ЦУС;
• активация ранее назначенных ключей (с загрузкoй ключей в БД ЦУС);
• пересылка ключей на сетевые устройства;
• экспорт назначенных ключей на внешнее устройство;
• просмотр назначенных ключей.
Перечисленные выше операции выполняются с помощью мастера управления
ключами сетевого устройства.

Для запуска мастера управления ключами:


1. Выберите в области объектов управления главного окна ПУ ЦУС тип сетевого
устройства, выделите одно или несколько сетевых устройств, для которых
должна быть выполнена операция с ключами, вызовите контекстное меню и
выберите в нем команду "Управление ключами сетевых устройств".
Появится стартовый диалог мастера управления ключами.

В верхней части диалога представлен список сетевых устройств, выбранных


в предыдущем пункте процедуры. Список устройств может быть откор-
ректирован с помощью кнопок "Добавить..." и "Удалить", расположенных
справа от списка.
В нижней части диалога находится перечень операций с ключами, которые
могут быть выполнены одновременно для всего списка сетевых устройств.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 93
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

2. Для выполнения той или иной операции выберите ее в перечне и нажмите


кнопку "Далее".
Описание операций приведено в последующих подразделах.

Назначение ключей сетевым устройствам


Выполняется назначение ключей, сгенерированных на АРМ ГК и хранящихся на
ключевом носителе ЦУС (см. [7]).
Одному сетевому устройству можно назначить несколько ключей. Один ключ мо-
жет быть назначен только одному сетевому устройству.
Назначение ключей может быть выполнено как вручную, так и автоматически.

Для назначения комплектов ключей:


1. Запустите мастер управления ключами и выберите одно или несколько се-
тевых устройств для назначения им комплектов ключей (см. стр. 93).
2. Вставьте ключевой носитель ЦУС.
3. В окне мастера в перечне операций с ключами выберите "Назначить комплек-
ты ключей" и нажмите кнопку "Далее >".
На экране появится окно назначения комплектов ключей.

В левой части окна представлен список выбранных сетевых устройств и на-


значенные им ключи.
В правой части окна отображается список ключей, хранящихся на предъ-
явленном ключевом носителе. Ключи, у которых истекает срок хранения, от-
мечены восклицательным знаком красного цвета.
• Для принудительного назначения ключей перейдите к п. 4.
• Для автоматического распределения ключей по устройствам перейдите к
п. 8.
4. Выберите в левом списке сетевое устройство, которому необходимо назна-
чить ключ. Для этого выделите его название или строку любого уже на-
значенного ему ключа.
5. Выделите в правом списке ключ или несколько ключей, которые должны
быть назначены выбранному сетевому устройству.
Станет доступна кнопка переноса влево .
6. Нажмите кнопку переноса.
У выбранного сетевого устройства появится вновь назначенный ключ (или
список комплектов), выделенный зеленым цветом. При этом доступные клю-
чи из списка, расположенного справа, будут удалены.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 94
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Примечание. Перенос ключей в список сетевых устройств и обратно можно выполнить по тех-
нологии drag-and-drop. Перед таким переносом необходимо выделить один или несколько клю-
чей.
7. Для назначения ключей следующему сетевому устройству повторите вы-
полнение пп. 4–6.
После назначения ключей всем выбранным сетевым устройствам при необхо-
димости откорректируйте получившийся список сетевых устройств и назна-
ченных им комплектов ключей и затем перейдите к п. 12.
• Для отмены назначения ключа выделите его в списке устройств и наж-
мите кнопку переноса вправо .
Из списка сетевых устройств ключ будет удален и перемещен в список до-
ступных ключей.
8. Для автоматического распределения ключей выберите один из предлагаемых
вариантов: для всех устройств в списке или для выделенных.
9. Если выбран вариант только для выделенных устройств , выделите их в
списке.
10. Укажите количество комплектов, которое должно быть назначено для каж-
дого из выделенных сетевых устройств, и нажмите кнопку "Назначить".
Будет выполнено автоматическое распределение комплектов. Вновь на-
значенные комплекты будут отображены в списке сетевых устройств и уда-
лены из списка доступных комплектов.
11.При необходимости откорректируйте распределение ключей, отображаемое в
списке сетевых устройств. Для этого используйте описание принудительного
назначения (см. пп. 4–7).
12. После окончательной проверки распределения ключей по сетевым устрой-
ствам нажмите кнопку "Далее".
Будет выполнено назначение ключей и затем появится окно, отображающее
результаты выполнения операции.
Примечание. До тех пор, пока не выполнена операция по активации ключей (см. стр. 96), дей-
ствуют текущие активные ключ и (с учетом сроков их действия).

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 95
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

13.Для сохранения результатов в файл нажмите кнопку "Сохранить отчет..." и


выберите формат файла: *.txt или *.xml.
14.Для завершения работы мастера нажмите кнопку "Готово".

Активация ключей в ЦУС


Активацию выполняют для загрузки назначенных ключей сетевых устройств в
БД ЦУС.

Для активации ключей:


1. Запустите мастер управления ключами и выберите одно или несколько се-
тевых устройств, для которых необходимо выполнить активацию ключей (см.
стр. 93).
2. Вставьте ключевой носитель ЦУС с записанными на нем ключами.
3. В окне мастера в перечне операций с ключами выберите "Активировать
комплекты ключей" и нажмите кнопку "Далее".
На экране появится окно "Активация комплектов ключей <сетевых
устройств>".

В окне представлен список выбранных <сетевых устройств> и назначенные


им ключи. Для каждого ключа приводится следующая информация:
• номер комплекта;
• статус загруженного на устройство ключа – активный или нет;
• дата окончания срока хранения.
4. Последовательно для каждого сетевого устройства в списке выделите ключ,
подлежащий активации, и левой кнопкой мыши установите отметку в
соответствующем поле.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 96
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

У выделенного ключа в поле "Установить" появится отметка в виде флага,


означающая, что данный ключ будет загружен в БД ЦУС и активирован.

Примечание. Если необходимо отменить выбор ключа, удалите отметку повторным нажатием
левой кнопки мыши в соответствующем поле.
5. После установки отметок у ключей для всех сетевых устройств списка наж-
мите кнопку "Далее".
На экране появится сообщение.

6. Нажмите кнопку "Да" в окне сообщения.


Начнется операция загрузки ключей в БД ЦУС и удаление ключей, которые
до начала процедуры были активными.
После завершения операции на экране появится отчет с результатами вы-
полненных действий.

7. Ознакомьтесь с отчетом и при необходимости сохраните его в одном из двух


форматов (*.txt или *.xml), нажав кнопку "Сохранить отчет...".
8. Для завершения работы мастера нажмите в окне отчета кнопку "Готово".

Пересылка ключей
Операция выполняется только для уже назначенных ключей (см. стр. 94).

Для пересылки ключей сетевым устройствам:


1. Запустите мастер управления ключами и выберите сетевые устройства, на ко-
торых должен быть выполнен переход на резервные ключи (см. стр. 93).
2. Вставьте ключевой носитель с записанными на нем ключами.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 97
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

3. В окне мастера в перечне операций с ключами выберите "Переслать комплек-


ты ключей" и нажмите кнопку "Далее".
Появится окно "Пересылка комплектов ключей на сетевые устройства".

В окне отображается информация о текущем распределении ключей на вы-


бранных сетевых устройствах.
4. Последовательно для каждого сетевого устройства в списке выделите пере-
сылаемый ключ и левой кнопкой мыши установите отметку в соответ-
ствующем поле.
У выделенного ключа в поле "Установить" появится отметка в виде флага,
означающая, что данный ключ будет загружен в БД ЦУС и активирован.

Примечание. Если необходимо отменить выбор ключа, удалите отметку повторным нажатием
левой кнопки мыши в соответствующем поле.
5. Нажмите кнопку "Далее".
Будет сформировано задание на отсылку ключей выбранным сетевым устрой-
ствам. Статус выполнения можно увидеть на соответствующей вкладке до-
полнительного окна.
На экране появится окно с отчетом о выполненных действиях.

6. Ознакомьтесь с отчетом и при необходимости сохраните его, нажав кнопку


"Сохранить отчет...". Для сохранения доступны форматы TXT и XML.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 98
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

7. Для завершения процедуры пересылки ключа нажмите в окне отчета кнопку


"Готово".

Удаление комплектов ключей


Администратор ПУ ЦУС имеет возможность удалять ключи из БД ЦУС (например, в
случае компрометации ключей или ключевых носителей). Удаление ключей мо-
жет быть выполнено без предъявления ключевого носителя ЦУС.
Активный ключ удалению не подлежит.

Для удаления комплектов ключей:


1. Запустите мастер управления ключами и выберите сетевые устройства, для
которых должно быть выполнено удаление комплекта (комплектов) ключей
(см. стр. 93).
2. Вставьте ключевой носитель ЦУС с записанными на нем ключами.
3. В перечне операций в окне мастера выберите "Удалить комплекты ключей" и
нажмите кнопку "Далее".
На экране появится окно "Удаление комплектов ключей".
В левой части окна расположен список выбранных сетевых устройств и
назначенных им ключей. Для каждого ключа приведена следующая ин-
формация:
• номер ключа;
• дата истечения срока действия.
В правой части расположен список удаляемых комплектов ключей.
4. Выберите в списке сетевых устройств ключ или группу ключей, подлежащих
удалению, и нажмите кнопку переноса вправо .
Выбранные ключи будут перенесены в список удаляемых и выделены крас-
ным цветом.

5. При необходимости отменить удаление ключа выделите его в списке уда-


ляемых и нажмите кнопку переноса влево .
Удаляемый ключ будет восстановлен в списке слева.
6. После окончательного формирования списка удаляемых ключей нажмите
кнопку "Далее >".

Начнется удаление указанных ключей из БД ЦУС и после завершения на


экране появится окно отчета о выполненных операциях.

Если в составе удаляемого комплекта был активный ключ, на экране отоб-


разится соответствующее информационное окно и ни один из удаляемых
комплектов из БД ЦУС удален не будет.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 99
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

7. Ознакомьтесь с отчетом и при необходимости сохраните его, нажав кнопку


"Сохранить отчет" и выбрав место его хранения и формат файла (*.txt или
*.xml).
8. Для завершения процедуры нажмите в окне отчета кнопку "Готово".

Запись ключей на носитель


Данная операция предусмотрена для тех случаев, когда по каким-либо причинам
невозможна отправка ключа по каналу ЦУС–сетевое устройство.
Ключ сохраняется в файл ключевого контейнера, защищенный паролем. Для за-
грузки ключа на сетевое устройство этот файл должен находиться в корневом ка-
талоге USB-флеш-накопителя.

Для экспорта ключей:


1. Запустите мастер управления ключами и выберите сетевые устройства, для
которых требуется просмотреть назначенные им ключи (см. стр. 93).
2. В перечне операций в окне мастера выберите "Экспортировать выбранный
комплект ключей" и нажмите кнопку "Далее".
На экране появится окно экспорта.

В окне отображается список выбранных сетевых устройств и назначенных


им ключей.
3. Выберите в списке ключи для экспорта и нажмите кнопку
"Далее >".
На экране появится окно запроса пароля на ключевой контейнер.

4. Введите дважды пароль и нажмите кнопку "ОК".


На экране появится окно выбора каталога для экспорта файла ключевого
контейнера.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 100
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

5. Выберите каталог для сохранения файла ключевого контейнера и нажмите


кнопку "ОК".
Будет выполнен экспорт комплекта ключей в файл keyset и затем появится
окно, отображающее результаты выполнения операции.
6. При необходимости сохранить отчет нажмите кнопку "Сохранить отчет",
выберите место хранения и формат файла, введите имя файла и нажмите
кнопку "Сохранить".
7. Для завершения процедуры нажмите кнопку "Готово" в окне отчета.

Просмотр текущего распределения ключей


Администратор ПУ ЦУС имеет возможность просмотреть текущее распределение
ключей по сетевым устройствам и сохранить полученную информацию в виде
текстового файла или файла формата xml.

Для просмотра:
1. Запустите мастер управления ключами и выберите сетевые устройства, для
которых требуется просмотреть назначенные им комплекты ключей (см. стр.
93).
2. В перечне операций в окне мастера выберите "Показать текущее рас-
пределение комплектов и ключей" и нажмите кнопку "Далее".
На экране появится окно "Отображение текущего распределения комплектов
ключей для сетевых устройств".

В окне отображается список выбранных сетевых устройств и назначенных


им ключей.
Для каждого ключа приводится следующая информация:
• номер ключа;
• статус загруженного ключа – активный или нет;
• дата окончания срока хранения.
Ключи с истекающим сроком хранения отмечены восклицательным знаком
красного цвета.
3. После просмотра представленной информации нажмите кнопку "Далее >".
На экране появится окно, в котором просмотренные сведения отображаются
в виде отчета и могут быть сохранены в виде файла формата *.txt или *.xml.
4. При необходимости сохранить отчет нажмите кнопку "Сохранить отчет",
выберите место хранения и формат файла, введите имя файла и нажмите
кнопку "Сохранить".
5. Для завершения просмотра сведений нажмите кнопку "Готово" в окне отчета.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 101
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Организация связи со сторонними


криптографическими сетями
Общий порядок организации связи
Для организации связи со сторонней криптографической сетью, управляемой
другим ЦУС, необходимо выполнить следующие действия:
1. Регистрация внешней сети средствами программы управления (см.стр. 104).
2. Обмен сертификатами открытых ключей.
• Создание и экспорт сертификата собственной сети (см.стр. 103).
• Импорт сертификата сторонней сети (см.стр. 105).
3. Обмен файлами конфигурации разрешенных к доступу ресурсов.
• Создание и экспорт файла конфигурации разрешенных к доступу ре-
сурсов собственной сети (см. стр. 105).
• Импорт файла конфигурации разрешенных к доступу ресурсов сторонней
сети (см.стр. 105).
4. Создание межсетевого ключа (см. стр. 105).
5. Настройка парной связи между КШ (см. стр. 77).
6. Создание правил фильтрации для информационного обмена между сетями
(см. [3]).
Внимание!
• Связь со сторонней криптографической сетью не может быть установлена,
если хотя бы на одном из связываемых ЦУС включен режим изолированной
сети.
• Для установки соединения между КШ, принадлежащими разным крип-
тографическим сетям, хотя бы один из этих КШ должен обладать однозначно
идентифицируемым статическим IP-адресом.
• Загрузка конфигурации внешней сети при совпадении идентификаторов КШ
в домашней и внешней сети невозможна.

Инфраструктура открытых ключей


Собственная инфраструктура открытых ключей предназначена для установки
защищенного соединения с внешней криптографической сетью.
Удостоверяющим центром является ЦУС. Здесь выполняются генерация клю-
чевой пары и издание сертификата открытого ключа, а также их хранение.

Для вызова списка сертификатов:


• В области объектов управления ПУ ЦУС выберите пункт "Центр управления
сетью> Сертификаты".
В правой части окна отобразится список сертификатов, содержащий следую-
щие поля:
• серийный номер;
• субъект;
• издатель;
• назначение;
• привязка;
• алгоритм подписи;
• алгоритм ключа;
• срок действия.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 102
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Для создания сертификата:


1. Вызовите контекстное меню в любом месте списка сертификатов и акти-
вируйте команду "Создать сертификат" или нажмите одноименную кнопку
на панели инструментов.
На экране появится окно "Создание сертификата".

2. Заполните поля параметров и нажмите кнопку "OK".

Название Наименование сертификата открытого ключа

Описание Дополнительная текстовая информация

Организация Наименование организации, издавшей сертификат

Подразделение Наименование подразделения, издавшего сертификат

Регион

Город
Почтовые атрибуты организации, издавшей сертификат
Страна

Электронная почта

Алгоритм подписи Используемый алгоритм для подписи сертификата

Алгоритм ключа Используемый алгоритм для создания ключевой информации


сертификата

Начало/конец
Срок действия сертификата
действия

Назначение Предназначение сертификата

В поле "Назначение" выберите значение "Подключение к внешним сетям" и


нажмите кнопку "Далее".

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 103
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

На экране появится следующий диалог "Привязка сертификата".


В диалоге отображается привязка создаваемого сертификата к домашней се-
ти.
3. Нажмите кнопку "Готово".
Диалог мастера закроется и в списке сертификатов появится вновь со-
зданный сертификат.

Для просмотра сертификата:


• Выберите нужную запись в списке и нажмите кнопку "Свойства" на панели
инструментов.
На экране появится стандартный диалог Windows для просмотра свойств сер-
тификатов.

Для удаления сертификата:


• Выберите одну или несколько записей в списке и нажмите кнопку "Удалить"
на панели инструментов (либо клавишу <Delete>). Для выбора нескольких
элементов используйте клавиши <Shift> и <Ctrl>.

Управление внешними сетями


Перечень сторонних криптографических сетей отображается в окне "Внешние
криптографические сети". Управление внешними сетями выполняют в этом ок-
не.

Для вызова списка внешних сетей:


1. В левой части окна программы управления выберите папку "Внешние
криптографические сети".
В правой части окна отобразится список зарегистрированных внешних се-
тей.

Табл.12 Перечень полей списка внешних сетей

Поле Описание

Название Наименование внешней криптографической сети

Описание Дополнительная текстовая информация

2. Для просмотра подробных сведений о внешней сети раскройте в левой части


окна папку "Внешние криптографические сети" и далее раскройте вло-
женную папку с нужным названием.
Появится список папок, содержащих всю необходимую информацию для рабо-
ты с данной сетью.
3. Для просмотра содержимого папки выберите ее в списке.
В правой части окна отобразится содержимое папки.

Для регистрации внешней сети:


1. Вызовите контекстное меню в любом месте списка внешних сетей и акти-
вируйте команду "Создать внешнюю криптографическую сеть" или нажмите
одноименную кнопку на панели инструментов.
На экране появится диалог "Внешняя криптографическая сеть".
2. Заполните поля диалога и нажмите кнопку "OK".

Название Наименование внешней криптографической сети

Описание Дополнительная текстовая информация

Для редактирования внешней сети:


1. Выберите нужную запись в списке и активируйте команду контекстного ме-
ню "Свойства" или нажмите одноименную кнопку ( ) на панели

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 104
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

инструментов.
На экране появится диалог "Внешняя криптографическая сеть".
2. Заполните поля диалога и нажмите кнопку "OK".

Название Наименование внешней криптографической сети

Описание Дополнительная текстовая информация

Для импорта сертификата внешней сети:


1. Выберите нужную запись в списке сертификатов и активируйте команду
контекстного меню "Импортировать сертификат...".
На экране появится диалог для выбора файла.
2. Выберите нужный файл сертификата (*.cer) и нажмите кнопку "Далее". По-
сле окончания импорта нажмите кнопку "ОК".

Для импорта конфигурации разрешенных к доступу ресурсов:


1. Выберите нужную запись в списке и активируйте команду контекстного ме-
ню "Импортировать конфигурацию внешней сети...".
На экране появится стандартный диалог Windows для открытия файла.
2. Выберите нужный файл конфигурации (*.nc) и нажмите кнопку "OK".

Для экспорта конфигурации разрешенных к доступу ресурсов:


1. Выберите нужную запись в списке и активируйте команду контекстного ме-
ню "Экспортировать конфигурацию для внешней сети...".
На экране появится диалог "Экспорт конфигурации для внешней сети".
2. Заполните поля диалога и нажмите кнопку "OK".

Сертификат своей сети Наименование сертификата собственной


сети, предназначенного для создания электронной
подписи файла конфигурации

Сертификат внешней Наименование сертификата внешней сети для


сети зашифровывания файла конфигурации

Сетевые объекты и Перечень сетевых объектов собственной сети, к которым


криптошлюзы, доступные разрешен доступ из данной внешней сети. Для
для внешней сети формирования списка используйте кнопки "Добавить..."
и "Удалить"

Имя файла для Полное имя файла конфигурации ресурсов собственной


сохранения сети, разрешенных для доступа из сторонней сети
экспортируемой
конфигурации

Для удаления внешней сети:


• Выберите одну или несколько записей в списке и нажмите кнопку на па-
нели инструментов (клавишу <Delete>). Для выбора нескольких элементов
используйте клавиши <Shift> и <Ctrl>.

Управление межсетевыми ключами


Межсетевой ключ используется для генерации ключей парной связи КШ. Для
создания межсетевого ключа необходимо заранее издать сертификат соб-
ственной сети и импортировать сертификат сторонней сети, с которой уста-
навливается связь.

Для вызова списка межсетевых ключей:


• В левой части окна программы управления выберите папку "Внешние
криптографические сети> <Наименование нужной сети>> Межсетевые клю-
чи".

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 105
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

В правой части окна отобразится список межсетевых ключей для данной


внешней сети.

Табл.13 Перечень полей списка межсетевых ключей

Поле Описание

Пиктограмма Пиктографическое обозначение состояния межсетевого ключа (см.


ключа Табл.14)

Действителен Дата и время начала срока действия межсетевого ключа


с

Действителен Дата и время окончания срока действия межсетевого ключа.


по Дополнительные отметки:
! — до окончания срока действия осталось меньше месяца;
!! — до окончания срока действия осталось меньше недели

Сертификат Наименование сертификата домашней сети, использованного для


своей сети создания данного межсетевого ключа

Сертификат Наименование сертификата внешней сети, использованного для


внешней сети создания данного межсетевого ключа

Хэш ключа Результат хэширования ключа

Ресурс ключа Оставшееся время жизни ключа в процентах в зависимости от


интенсивности использования его производных – ключей парной связи

Табл.14 Пиктографические обозначения состояния межсетевого


ключа

Пиктограмма Описание

Активный межсетевой ключ. Этот ключ используется для генерации


ключей парной связи КШ. Только один ключ из списка может быть
активен

Неактивный действительный межсетевой ключ

Недействительный межсетевой ключ

Для создания межсетевого ключа:


1. Вызовите контекстное меню в любом месте списка межсетевых ключей и акти-
вируйте команду "Создать межсетевой ключ" или нажмите одноименную
кнопку на панели инструментов ( ).
На экране появится диалог "Межсетевой ключ".
2. Заполните поля диалога и нажмите кнопку "OK".

Сертификат Наименование сертификата собственной сети, использованного


своей сети для создания данного межсетевого ключа

Сертификат Наименование сертификата внешней сети, использованного для


внешней сети создания данного межсетевого ключа

Для активирования межсетевого ключа:


• Вызовите контекстное меню нужной записи и выберите команду "Ак-
тивировать" или нажмите кнопку на панели инструментов ( ).
Пиктограмма выбранного ключа примет вид .

Для удаления межсетевого ключа:


• Выберите одну или несколько записей в списке и нажмите кнопку на па-
нели инструментов (клавишу <Delete>). Для выбора нескольких элементов
используйте клавиши <Shift> и <Ctrl>.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 106
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Внимание! Для поддержания корректной работы комплекса со сторонней


криптографической сетью не рекомендуется удалять активный межсетевой
ключ. Если по каким-либо причинам произошло его ошибочное удаление, необ-
ходимо повторно выполнить все действия в соответствии с общим порядком
организации связи (см. стр. 102), используя новые сертификаты.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 107
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Глава 7
Агент Роскомнадзора
Агент предназначен для автоматической загрузки в БД ЦУС сведений о запре-
щенных ресурсах единого реестра Роскомнадзора. Для получения агентом све-
дений о запрещенных ресурсах используется веб-сервис портала Роскомнадзора.
Примечание. Сведения о запрещенных ресурсах могут быть загружены в ручном режиме без
использования агента (см. стр. 145).

Установка агента
Агент Роскомнадзора устанавливают как компонент, входящий в состав под-
системы управления.
Компьютер, на который устанавливают агент, должен удовлетворять следующим
требованиям:
• На компьютере установлены компоненты ОС Windows, обеспечивающие до-
ступ к порталу Роскомнадзора по сетевым протоколам TCP/IP.
• Поддерживается связь агента с ЦУС по зашифрованному каналу для пере-
дачи сведений о запрещенных ресурсах в БД ЦУС.
• На компьютере установлено программное обеспечение криптопровайдера
"КриптоПро CSP".
• В хранилище локального компьютера установлены сертификат пользователя
(устанавливается в раздел "Личное"), корневой сертификат и сертификат
Роскомнадзора (устанавливаются в раздел "Доверенные корневые центры
сертификации").
Примечание. При создании запроса на получение сертификата средствами "КриптоПро CSP"
формируется закрытый ключ. Для хранения ключевой информации используется внешний но-
ситель.

Для установки агента:


1. Выполните процедуру установки ПУ ЦУС (см. [2]).
Вид установки –"Выборочная". Устанавливаемый компонент –"Агент Роском-
надзор".
2. После завершения процедуры установки перезагрузите компьютер.
На экране появится сообщение с инструкцией по накоплению энтропии для
биологического датчика случайных чисел, если она не была накоплена ра-
нее.
3. Нажмите кнопку "OK" в окне сообщения и, следуя инструкции, нажимайте на
мишень, перемещающуюся по экрану, до завершения процесса накопления
энтропии.
Внимание! Непопадание в мишень может привести к понижению уровня накопленной эн-
тропии и необходимости повторного выполнения данной операции.
После завершения операции накопления энтропии на экране появится окно
настройки параметров агента.
4. Укажите значения параметров или откажитесь от настройки нажатием кноп-
ки "Отмена".
Настройку параметров можно выполнить позже (см. стр. 110).
5. После настройки параметров нажмите кнопку "OK".
Окно настройки параметров агента закроется.
После завершения процедуры установки на компьютере будут установлены
агент и программа управления агентом, а группа приложений "Код

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 108
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

безопасности" дополнится ярлыком "Программа управления агентом Роском-


надзор".
При запуске программа размещает свою пиктограмму в панели задач Windows.
Цвет пиктограммы указывает на состояние агента:

Зеленый Агент запущен

Красный Агент остановлен

После установки, а также после настройки параметров агент находится в со-


стоянии "остановлен".

Программа управления агентом Роскомнадзора


Программа используется для настройки и локального управления агентом Роском-
надзора.
После завершения процедуры установки агента программа изначально на-
ходится во включенном состоянии в пользовательском режиме. При этом агент
находится в состоянии "остановлен".
Для управления агентом используются команды контекстного меню пикто-
граммы программы в панели задач (см. ниже). В пользовательском режиме до-
ступна только часть этих команд, для полного функционала программы
необходимо запустить ее в меню "Программы" главного меню Windows от имени
администратора.
При выходе из программы управления пиктограмма из панели задач удаляется и
вызов контекстного меню становится невозможным. При этом агент, если он был
запущен, продолжает свою работу в соответствии с заданными настройками.

Команды управления агентом Роскомнадзора


Ниже в таблице приведены все команды программы управления агентом Роском-
надзора.

Название
Описание
команды

Запустить агент Осуществляет запуск агента

Остановить агент Осуществляет остановку агента

Параметры агента… Открывает окно настройки параметров агента

Удалить Удаляет сохраненный пароль доступа к ключам ЦУС. При


сохраненный выполнении команды "Запустить агент" потребуется ввести
пароль к ЦУС пароль

Отключить Отключает/включает вывод всплывающих сообщений об ошибках


уведомления в работе агента
об ошибках

Журнал Вызывает на экран журнал событий ОС Windows


приложений
системы

О программе… Открывает окно, содержащее сведения о номере версии


программы управления агентом, а также сведения об авторских
правах на программный продукт

Выход Осуществляет выход из программы управления агентом и удаляет


пиктограмму с панели задач.
Внимание! При удалении пиктограммы агент не выключается

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 109
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Настройка параметров агента


Внимание! Для изменения параметров агента его необходимо запустить в меню "Программы" глав-
ного меню Windows от имени администратора.

Для настройки параметров агента:


1. Вызовите контекстное меню пиктограммы программы управления агентом и
выберите команду "Параметры агента".
На экране появится окно настройки параметров.
2. Укажите требуемые значения параметров.

Параметр Описание

Служба выгрузки

URL службы Адрес страницы на портале Роскомнадзора для получения выгрузки


выгрузки

Путь хранения Папка локального компьютера, в которую агент сохраняет выгрузку


последней Роскомнадзора для последующей передачи в ЦУС
выгрузки

Период Периодичность опроса агентом портала Роскомнадзора


опроса
службы
выгрузки

Подключения к ЦУС

Адрес IP-адрес для подключения агента к ЦУС

Тип ключевого Тип съемного носителя, на котором хранятся ключи связи с ЦУС. Воз-
носителя можные значения: дисковод и USB-флеш-накопитель

Прокси HTTP

Адрес Адрес и порт прокси-сервера для подключения агента к порталу


Порт Роскомнадзора

Логин Аутентификационные данные, используемые при подключении к


Пароль порталу Роскомнадзора через прокси-сервер

Сертификат

Сертификат Сертификат, предъявляемый агентом при обращении в Роском-


надзор. Хранится в хранилище локального компьютера

Оператор связи

Наименование Полное наименование оператора связи

ИНН ИНН оператора связи (10 цифр для юридических лиц)

ОГРН ОГРН оператора связи (13 цифр для юридических лиц)

E-mail Электронный адрес технического специалиста, ответственного за


использование механизма получения выгрузки; может исполь-
зоваться для оперативной обратной связи в случае возникновения
технических вопросов или проблем (необязательное поле)

3. Нажмите кнопку "OK".


Окно настройки параметров закроется.
Примечание. После изменения параметров, если агент был запущен, он переходит в со-
стояние "остановлен". Для продолжения работы агент необходимо запустить (см. ниже).

Запуск агента
Перед запуском агента подготовьте носитель с дубликатом административного
ключа (создание дубликата административного ключа см. стр. 45).

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 110
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Для запуск агента:


1. Вставьте носитель с дубликатом административного ключа.
2. Вызовите контекстное меню пиктограммы программы управления агентом и
выберите команду "Запустить".
На экране появится запрос на ввод административного пароля.
Примечание. Запрос не появится, если при предыдущем запуске агента в запросе на ввод па-
роля была установлена отметка в поле "Сохранить пароль".
3. Введите пароль администратора.
Если необходимо сохранить пароль, установите отметку в поле "Сохранить
пароль".
4. Нажмите кнопку "OK".
Агент будет запущен и пиктограмма программы управления агентом изменит
цвет с красного на зеленый.

Сообщения об ошибках
Ошибки подключения агента к веб- сервису портала Роскомнадзора реги-
стрируются в журнале событий ОС Windows в разделе Windows Logs/Application.

Для просмотра событий:


1. Вызовите контекстное меню программы управления агентом и выберите ко-
манду "Журнал приложений системы".
Откроется журнал.
2. Перейдите в раздел Windows Logs/Application.
Ниже приведено описание событий, связанных с ошибками подключения агента
к веб-сервису портала Роскомнадзора.

Событие Описание

Event ID: 4. Network connection fail to Данная ошибка вызвана невозможностью


RKN-service. Error: HTTP error: 408 подключения к сервису Роскомнадзора. Это
HTTP/1.1 408 Request Time-out, может быть связано как с нарушением сетевого
<html>Your request timed out. Please соединения на стороне пользователя, так и
retry the request недоступностью сервиса со стороны Роском-
надзора. В зависимости от установленного в
параметрах агента периода опроса службы
выгрузки попытка подключения будет выпол-
нена позже

Event ID: 7. Verify sign fail. Error: Невоз- Причиной ошибки является недействительный
можно построить цепочку доверенных сертификат. Недействительным может быть
сертификатов как один из сертификатов, загружаемых
пользователем, так и сертификат,
присылаемый со стороны Роскомнадзора при
подключении

Event ID: 9. Service wait result, Событие, описывающее подключение к сер-


a112a3375b80b156726829cd69ef95002 вису. С шестнадцатеричным номером, ука-
занным в описании события, можно
обратиться в Роскомнадзор и получить список,
если он не был загружен по каким-либо при-
чинам из сервиса

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 111
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Глава 8
Обеспечение отказоустойчивости
комплекса
Резервное копирование и восстановление конфигурации ЦУС
Резервное копирование конфигурации ЦУС
В комплексе предусмотрена возможность резервного копирования конфи-
гурации ЦУС. Резервная копия позволяет быстро восстановить работу сети при
выходе из строя штатного ЦУС.
Существуют два способа создания резервной копии:
• автоматически агентом ЦУС и СД в соответствии с заданным расписанием;
• принудительно администратором.

Автоматическое создание резервной копии


Агент сохраняет резервную копию конфигурации ЦУС в папку, которую можно
указать средствами локального управления агента (cм. [5 ]). По умолчанию это
папка %PUBLIC%\Documents\Continent3\<имя_ базы данных>. Имя файла ре-
зервной копии Save_ at_ yy_ mm_ dd- hh_ mm.dat. Всего в данной папке од-
новременно может храниться от 2 до 365 последних файлов резервных копий (в
зависимости от настроек ЦУС; по умолчанию — 30).
Имеются два типа расписания работы агента:
• периодическое;
• еженедельное.
Периодическое расписание определяет интервал времени, через который агент
выполняет свои функции. Еженедельное расписание определяет точное время
действия агента по дням недели. Можно определить расписание работы агента
любым из этих методов.

Для настройки расписания:


1. Вызовите окно настройки агента. Для этого в меню "ЦУС" активируйте ко-
манду "Настройки агента ЦУС и СД".
2. Перейдите к вкладке "Сохранение конфигурации ЦУС".
3. Выберите тип расписания и определите его параметры:

Периодическое Включает режим работы, при котором запуск процесса


расписание осуществляется через равные промежутки времени.
Продолжительность промежутка задается количеством минут или
часов. Режим начинает действовать с момента наступления
определенной даты и времени. Чтобы указать другой момент начала
действия режима, активируйте ссылку с текущим значением даты и
времени и в появившемся на экране окне введите нужные значения.
Способы выбора и редактирования значений в этом окне
аналогичны стандартным способам, принятым в ОС Windows для
установки даты и времени

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 112
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Еженедельное Включает режим работы, при котором запуск процесса


расписание осуществляется в моменты времени, заданные специальным
расписанием. Расписание представлено в виде таблицы,
разделенной, для оптимального отображения, на две части. В
столбцах таблицы перечислены дни недели, а в строках — часы и
минуты с шагом 30 минут. Выбор времени запуска процесса
осуществляется посредством установки отметки в соответствующей
ячейке таблицы. Для установки отметки поместите указатель в
ячейку и нажмите левую кнопку мыши. Повторное нажатие кнопки
приводит к удалению отметки. Действие расписания повторяется
еженедельно

4. Нажмите кнопку "OK".


Агент будет автоматически создавать резервную копию конфигурации ЦУС в
соответствии с заданным расписанием.

Принудительное создание резервной копии


Принудительное создание резервной копии конфигурации ЦУС рекомендуется
выполнять всякий раз после внесения очередного изменения в настройки комп-
лекса.
Примечание. Используйте для хранения резервной копии специально выделенный и защищенный
жесткий диск.
Принудительное создание резервной копии конфигурации при локальном управ-
лении ЦУС выполняется аналогично процедуре для сетевого устройства (см. стр.
10 ). В ходе процедуры будет предложен выбор между обычным сохранением
конфигурации ЦУС и сохранением для техподдержки. Второй вариант не сохра-
няет параметры сетевых интерфейсов всех КШ комплекса и предназначен толь-
ко для отсылки в службу технической поддержки (см. стр. 7 ) для решения
сложных проблем с работоспособностью комплекса.

Для принудительного создания резервной копии ЦУС посредством ПУ


ЦУС:
1. В области объектов управления вызовите контестное меню раздела "Центр
управления сетью" и активируйте команду "Сохранить файл конфигурации
ЦУС...".
На экране появится окно задания пароля для зашифрования файла конфи-
гурации ЦУС.
2. Введите и подтвердите пароль.
Внимание! При задании пароля должны выполняться требования, предъявляемые к паролям
в соответствии с политикой аутентификации администраторов (см. стр. 42).
Нажмите кнопку "OK".
На экране появится стандартное окно ОС Windows для сохранения файла.
3. Выберите нужную папку и укажите имя файла для создания резервной ко-
пии. Нажмите кнопку "Сохранить". Файл будет создан и зашифрован, а на эк-
ране появится сообщение об успешном завершении записи. Закройте окно
этого сообщения.

Восстановление конфигурации ЦУС из резервной копии


Способ восстановления конфигурации ЦУС зависит от текущей ра-
ботоспособности комплекса.
Для загрузки конфигурации ЦУС подготовьте носитель с файлом резервной ко-
пии ncc.cfg или Save_ at_ <дата и время>.dat.

Для восстановления конфигурации ЦУС посредством ПУ ЦУС:


1. В области объектов управления вызовите контестное меню раздела "Центр
управления сетью" и активируйте команду "Загрузить файл конфигурации
ЦУС...".

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 113
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

На экране появится стандартное окно открытия файла.


2. Выберите нужную папку и укажите имя файла резервной копии. Нажмите
кнопку "Открыть".
На экране появится окно ввода пароля.
3. Введите и подтвердите пароль.
На экране появится информационное окно о перезагрузке ЦУС.

4. Нажмите кнопку "OK".


5. По прошествию достаточного времени для подключения к ЦУС нажмите кноп-
ку вызова меню управления в левом верхнем углу панели управления и выбе-
рите команду "Установить соединение".

Для восстановления конфигурации при локальном управлении ЦУС:


1. В главном меню управления введите номер команды "Управление кон-
фигурацией" и нажмите клавишу <Enter>.
На экране появится список команд управления конфигурацией ЦУС.
2. Введите в строке ввода номер команды "Переинициализировать ЦУС" и наж-
мите клавишу <Enter>.
На экране появится сообщение:
Провести начальную конфигурацию ЦУС? (Y/N):
3. Введите "y" и нажмите клавишу <Enter>.
На экране появится сообщение:
Начальная конфигурация ЦУС
Инициализировать ЦУС с использованием файла конфигурации?
(Y/N):
4. Предъявите носитель с файлом конфигурации ЦУС, введите "y" и нажмите
клавишу <Enter>.
5. Перейдите к выполнению п. 7 процедуры инициализации ЦУС (см. стр. 121).

Для восстановления конфигурации вышедшего из строя ЦУС:


1. Выполните установку ПО "Континент" на ЦУС (см. стр. 126).
Примечание. При установке ПО ЦУС необходимо указать идентификатор вышедшего из строя
КШ. В противном случае корректная работа нового КШ с восстановленной базой данных ЦУС не-
возможна.
2. Выполните инициализацию ЦУС с использованием файла конфигурации
(см. стр. 121).

Управление кластером
Условия функционирования кластера
Кластер обеспечивает аппаратное резервирование сетевого устройства и ав-
томатическое переключение канала связи с основного устройства на резервное
при выходе основного из строя.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 114
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Примечание. Возможность аппаратного резервирования отсутствует у следующих сетевых


устройств:
• КШ, подключенные к телефонным линиям с помощью модема.
Для корректной работы кластера необходимо соблюдать следующие условия:
• Оба устройства, образующих кластер, должны иметь одинаковые аппа-
ратные платформы, а также одинаковое ПО одной и той же версии.
Примечание. Для формирования кластера, не входящего в комплект поставки изделия, обра-
титесь в службу технической поддержки поставщика комплекса.
• Среда передачи пакетов, к которой подключены интерфейсы обоих
устройств кластера, должна допускать наличие одинаковых IP- и MAC-ад-
ресов. Это требование относится как к внешним, так и к внутренним сетям
комплекса.
• Интерфейсы резервирования обоих устройств кластера запрещено под-
ключать к тем сетям, к которым подключены внешние и внутренние ин-
терфейсы этих устройств . Для подключения интерфейсов резервирования
необходимо использовать либо отдельную сеть, либо прямое подключение
друг к другу.

Создание кластера
Создание кластера выполняют в следующей последовательности:
1. Регистрация сетевого устройства.
2. Настройка интерфейсов резервирования.
3. Включение режима резервирования.
4. Запись конфигурации и ключей сетевого устройства на отчуждаемый но-
ситель.
5. Инициализация резервного устройства.
6. Ввод кластера в эксплуатацию.
Необходимо заранее подготовить два носителя: один — для записи конфи-
гурации основного устройства, другой — для записи конфигурации резервного
устройства.
Ключи сетевого устройства можно записать либо на те же носители, на которых
записана конфигурация, либо на отдельный носитель.
Для корректной работы кластера необходимо в настройках ПАК "Соболь" указать
следующие значения параметра "Автоматический вход в систему":
• для основного устройства — 5 сек.;
• для резервного устройства — 20 сек.

Шаг 1. Регистрация устройств кластера


Регистрацию основного сетевого устройства выполняют только в том случае,
если оно вводится в эксплуатацию впервые. Описание процедуры регистрации
устройств приведено в [2].

Шаг 2. Настройка интерфейсов резервирования


Настройку интерфейсов основного сетевого устройства выполняют с помощью
программы управления ЦУС. Имеется возможность использовать несколько
интерфейсов резервирования.
Описание настройки интерфейсов приведено на стр. 55 . При выборе типа ин-
терфейса укажите значение "Резервирование".

Шаг 3. Включение режима резервирования


Включение режима резервирования выполняют с помощью программы управ-
ления ЦУС.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 115
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Для включения режима резервирования:


1. Вызовите на экран окно настройки параметров сетевого устройства и
перейдите к вкладке "Резервирование".
2. Нажмите кнопку "Включить". Поля параметров резервирования ак-
тивируются.
3. Заполните поля параметров и нажмите кнопку "OK".

Интерфейсы Перечень интерфейсов, у которых параметр "Тип" имеет значение


"Резервирование"

Режим Порядок обратного переключения канала связи с резервного


обратного устройства на основное (возврат в состояние "как было"):
переключения • Автоматический — переключение осуществляется
устройства автоматически;
• Ручной — переключение осуществляет администратор
нажатием кнопки "Переключиться на парный"

Адреса IP-адрес интерфейса резервирования и маска подсети, к которой


он подключен, для основного и резервного устройства. Адреса
этих интерфейсов должны быть уникальными для данной
корпоративной сети и принадлежать одной подсети

Время ожидания Переключение канала связи (с резервного на основной и с


ответа от основного на резервный) происходит при превышении времени,
активного указанного в данном поле. Допустимые значения: 2-60 (секунд)
сетевого
устройства, сек.

Шаг 4. Запись конфигурации и ключей КШ (КК) на отчуждаемый носитель


Запись конфигурации резервного устройства на носитель выполняют с помощью
программы управления (см. [2], Глава 3). При записи конфигурации устройства
в поле "Режим" выберите значение "Резервный".
Внимание! Конфигурации основного и резервного устройства необходимо записывать на разные
носители.
Запись ключей сетевого устройства на носитель выполняют также с помощью
программы управления (см. стр. 89).
Примечание. Ключи и для основного, и для резервного устройства одинаковы. Ключи можно за-
писать либо на тот же носитель, на котором записана конфигурация, либо на отдельный носитель.

Шаг 5. Инициализация резервного устройства


Данную процедуру выполняют средствами локального управления (см. [2]).
При инициализации резервного устройства используйте носители с со-
ответствующими конфигурацией и ключами. После инициализации резервного
устройства дождитесь появления на консоли сообщения "Успешный старт".

Шаг 6. Ввод кластера в эксплуатацию


Ввод кластера в эксплуатацию выполняют с помощью программы управления
ЦУС.

Для ввода кластера в эксплуатацию:


1. Введите устройства кластера в эксплуатацию (см. стр. 47).
2. Перезагрузите кластер (см. стр. 47).

Дождитесь отображения рабочего состояния кластера в таблице состояний


устройств соответствующего типа.
После этого основное и резервное устройства начнут функционировать в ре-
жиме резервирования. При выходе из строя одного из устройств в таблице
соответствующих сетевых устройств пиктограмма кластера изменит свой вид с
указанием, какое именно устройство перестало функционировать

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 116
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

( ).

Добавление и удаление дополнительных интерфейсов


резервирования
Внимание! При добавлении и удалении дополнительных интерфейсов резервное устройство долж-
но быть включено.

Для добавления интерфейса резервирования:

Внимание! При резервировании криптошлюза с сервером доступа запрещено использовать более


одного интерфейса резервирования.
1. Настройте интерфейс (см. стр. 55 ). При выборе типа интерфейса укажите
значение "Резервирование".
2. Нажмите кнопку "Применить" в окне "Свойства <устройства>".
Будет выполнено обновление конфигурации кластера.

Для удаления интерфейса резервирования:

Примечание. Для удаления единственного интерфейса резервирования необходимо пред-


варительно выключить режим резервирования (см. стр. 118).
1. Откройте окно свойства сетевого устройства и перейдите на вкладку "Ин-
терфейсы".
2. Выберите удаляемый интерфейс резервирования и в поле "Тип" измените
значение "Резервирование" на "Не определен".
3. Нажмите кнопку "Применить".
Будет выполнено обновление конфигурации кластера.

Изменение адреса на интерфейсах резервирования


При выполнении процедуры изменения адреса на интерфейсе резервирования
кластер должен быть введен в эксплуатацию. При этом оба устройства (основное
и резервное) должны функционировать в режиме резервирования.

Для изменения адреса на интерфейсе резервирования:


1. Выберите кластер в списке, вызовите контекстное меню и активируйте ко-
манду "Свойства...".
На экране появится окно свойств сетевого устройства.
2. Перейдите к вкладке "Резервирование" и в группе полей "Адреса" внесите
необходимые изменения.
3. Нажмите кнопку "Применить".
Будет выполнено обновление конфигурации кластера.
4. Выполните перезагрузку кластера (см. стр. 47).
Если по каким- либо причинам при изменении адреса на интерфейсе ре-
зервирования резервное устройство кластера было выключено (или находилось
в ремонте), после изменения адреса (см. процедуру выше) необходимо выпол-
нить следующее:
1. Запишите конфигурацию устройства на носитель (см. [ 2 ] ). При записи
конфигурации в поле "Режим" выберите значение "Резервный".
2. Выполните средствами локального управления загрузку конфигурации на ре-
зервном устройстве (см. [2]).

Определение состояния кластера


Сведения о работоспособности кластера отображаются в общей таблице сос-
тояния соответствующих сетевых устройств в ПУ ЦУС. Сведения о состоянии каж-
дого устройства кластера представлены в главном окне на странице
характеристик кластера.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 117
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Для просмотра сведений о состоянии устройства в кластере:


• Выберите в области объектов управления ПУ ЦУС название нужного кла-
стера.
В главном окне отобразятся характеристики кластера. Текущее состояние
устройств, составляющих кластер, отображается в группе полей "Состояние
кластера". Состояние устройства может принимать следующие значения:

Включен Кластер функционирует в нормальном режиме. Данное устройство


(Трафик) выполняет роль основного и обрабатывает трафик

Включен Кластер функционирует в нормальном режиме. Данное устройство


выполняет роль резервного и готово к обработке трафика

Активен В кластере функционирует только данное устройство

Неактивен Данное устройство в кластере не функционирует

Отключен У обоих устройств питание отключено

Переключение канала связи в кластере


Существуют два режима переключения канала связи в кластере между основным
и резервным устройством:
• автоматический;
• ручной.
Выбор режима осуществляется в окне "Резервирование". В автоматическом ре-
жиме переключение канала связи осуществляется системой самостоятельно. Опи-
сание алгоритма автоматического переключения приведено на стр. 114 . При
выборе ручного режима переключение канала связи выполняет администратор.
Совет. Если переключение канала связи с резервного устройства на основное не происходит, пе-
резагрузите устройство (см. стр. 47).

Для переключения канала связи в ручном режиме:


1. Вызовите окно настройки параметров устройства и перейдите к вкладке "Ре-
зервирование".
2. Нажмите кнопку "Переключиться на парный".
На экране появится окно подтверждения.
3. Нажмите кнопку "Да", затем закройте окно настройки, нажав кнопку "OK".
После этого основное устройство начнет функционировать в активном режиме, а
в окне объектов программы управления пиктограмма данного устройства будет
отображать состояние "включено".

Выключение режима резервирования


Внимание! Выключение режима резервирования у работающего кластера запрещено.

Для выключения режима:


1. Выключите электропитание у резервного устройства.
2. Вызовите на экран окно настройки параметров устройства и перейдите к
вкладке "Резервирование".
3. Нажмите кнопку "Выключить", а затем "Применить".
4. Закройте окно настройки, нажав кнопку "OK".
После этого основное устройство будет автоматически перезагружено, а режим
резервирования выключен.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 118
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Нештатные ситуации при работе кластера


В таблице представлены описание нештатных ситуаций при работе кластера ре-
зервирования, а также причины возникновения таких ситуаций и способы устра-
нения их последствий.

Сообщение
Кластер* Трафик в журнале Причина Действие
НСД

(нет Есть — Отключено Подключить


электропитание электропитание
резервного)
резервного устройства

Отсутствует соединение Восстановить


резервного устройства с работоспособность
основным через интерфейса
интерфейс резервирования
резервирования

Есть Неправильный Отключено Подключить


номер электропитание электропитание
(резервный)
пакета** основного устройства

У основного устройства 1. Восстановить


нарушено подсоединение подсоединение
и внешнего интерфейса, интерфейсов.
и интерфейса 2. Разорвать и
резервирования заново установить
парную связь

Нет Неправильный У одного или обоих Разорвать и заново


номер пакета устройств было нарушено установить парную
и затем восстановлено связь
подсоединение внешнего
интерфейса и
интерфейса
резервирования

* Этот параметр отображается в общей таблице состояния устройства и отчетах о состоянии


проблемных кластеров (см. [5]).
** Сообщения в журнале НСД появляются после подсоединения интерфейсов.

Во всех случаях, когда разрешить нештатные ситуации не удалось, следует об-


ращаться в службу технической поддержки поставщика комплекса.

Восстановление работы кластера после ремонта основного


устройства
Если основное устройство кластера было отправлено в ремонт, после воз-
вращения устройства из ремонта подключите его к сетевым коммуникациям,
включите питание и дождитесь загрузки. При необходимости средствами локаль-
ного управления выполните процедуру повторной инициализации устройства
для загрузки последней сохраненной конфигурации (см. стр. 11).
Чтобы убедиться в возобновлении работы кластера, проверьте прохождение
IP-пакетов в другие защищаемые сети. Для проверки можно использовать ко-
манду ping (см. стр. 144).
Если работоспособность кластера не восстановлена (IP-пакеты не проходят в дру-
гие защищаемые сети), проверьте наличие соединения резервного устройства с
основным через интерфейс резервирования. При исправном соединении вы-
полните действия в следующей последовательности:
1. Выключите резервное устройство (см. стр. 47).
2. Выполните процедуру обновления конфигурации основного устройства (см.
стр. 48).

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 119
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

3. Выполните процедуру смены ключей устройства для основного устройства


(см. стр. 91).
4. Средствами локального управления выполните загрузку ключей для данного
сетевого устройства (см. стр. 25 ). При загрузке используйте ключевой но-
ситель с хранящимися на нем комплектами ключей для данного сетевого
устройства. В ходе процедуры загрузки укажите вариант "Загрузить ак-
тивный ключ".
5. После загрузки конфигурации основного устройства включите резервное
устройство (см. стр. 8).

Резервирование ЦУС
Для достижения отказоустойчивости ЦУС может состоять из нескольких сетевых
устройств с ПО ЦУС. Устройства могут быть выполнены на разных платформах,
однако рекомендуется устанавливать ПО ЦУС на платформы одной модели. По
территориальному расположению и количеству устройств с ПО ЦУС ограничений
нет. ЦУС состоит из одного устройства в активном режиме, осуществляющего
управление сетью, и одного или нескольких устройств в пассивном режиме,
находящихся в режиме ожидания.
Внимание! При резервировании ЦУС не рекомендуется устанавливать парные связи на КШ с ЦУС.
Переключение в активный режим осуществляет администратор цен-
трализованно через ПУ ЦУС или локально на КШ с ЦУС (см. стр. 124).
Резервирование ЦУС выполняют в следующей последовательности:
1. Регистрация резервных КШ с ЦУС в ПУ ЦУС (см. [2], раздел "Развертывание
сетевого устройства"). В параметрах устройства отмечаем, что оно является
ЦУС.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 120
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Внимание! На заключительном шаге работы мастера создания нового устройства не нужно вы-
гружать конфигурацию устройства на внешний носитель. Данную процедуру необходимо выпол-
нить из контекстного меню раздела "Центр управления сетью" области объектов управления,
не меняя название файла конфигурации ncc.cfg, предлагаемое по умолчанию.

2. Инициализация резервных платформ центра управления сетью


(см. стр. 121).
3. Настройка синхронизации БД ЦУС (см. стр. 122).
4. Ввод резервных КШ с ЦУС в эксплуатацию (см. стр. 47).

Инициализация резервных платформ центра управления сетью


Конфигурация ЦУС считывается с носителей типа USB-флеш-накопитель. По
умолчанию файл конфигурации ЦУС получает имя "ncc.cfg".

Для инициализации ЦУС:


1. Подключите к системному блоку КШ клавиатуру и монитор.
2. Включите питание монитора и КШ.
На экране появится основное окно ПАК "Соболь", в центре которого будет
отображаться запрос персонального идентификатора.
3. Не дожидаясь автоматической загрузки КШ, аккуратно приложите пер-
сональный идентификатор администратора ПАК "Соболь" к считывателю.
После успешного считывания информации из идентификатора на экране поя-
вится запрос пароля.
4. Введите пароль администратора ПАК "Соболь" и нажмите клавишу <Enter>.
На экране появится меню администратора ПАК "Соболь".
Примечание. Все сведения, необходимые администратору для управления работой ПАК "Со-
боль", содержатся в эксплуатационной документации ПАК "Соболь".
В штатном режиме работы КШ загрузка ОС с отчуждаемого носителя для всех пользователей
должна быть запрещена. Убедитесь, что режим "Запрет загрузки с внешних носителей" включен
для всех пользователей.
5. Выберите с помощью клавиш со стрелками в меню администратора команду
"Загрузка операционной системы" и нажмите клавишу <Enter>.
Начнется проверка целостности файлов установленного программного обес-
печения средствами ПАК "Соболь" и далее будет выполнена загрузка опе-
рационной системы.
Дождитесь появления на экране сообщения о выборе варианта дальнейших
действий, подобного следующему:
Криптографический шлюз с ЦУС "Континент"
Конфигурация: ЦУС
Начальная конфигурация ЦУС
Инициализировать ЦУС с использованием файла конфигурации?
(Y/N):
6. Вставьте внешний носитель с файлом конфигурации ncc.cfg, введите "y" и
нажмите клавишу <Enter>.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 121
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

На экране появится список обнаруженных на носителе файлов конфи-


гурации, подобный следующему:
1.     ncc.cfg
Введите номер файла содержащего конфигурацию ЦУС:
7. Введите номер, соответствующий требуемому файлу. Нажмите клавишу
<Enter>.
На экране появится запрос на создание учетной записи локального админи-
стратора:
Создать учетную запись локального администратора? (Y/N)
8. При необходимости создать учетную запись локального администратора
введите "y", нажмите клавишу <Enter> и последовательно введите его учет-
ные данные.
Примечание. Если в импортированной конфигурации ЦУС имелись данные об учетной записи
локального администратора, запрос учетных данных будет опущен.
ЦУС сохранит информацию о конфигурации в базе данных, после чего на эк-
ране появится сообщение:
Конфигурация ЦУС завершена
На экране появится главное меню ЦУС, подобное следующему:
1: Завершение работы
2: Перезагрузка
3: Управление конфигурацией
4: Настройка безопасности
5: Настройка СД <функция недоступна>
6: Тестирование
0: Выход
Выберите пункт меню (0–6):
Пункт меню "Тестирование" предназначен для выполнения аппаратных те-
стов сетевого устройства до начала инициализации. Описание тестов см. на
стр. 144.
9. Для завершения процедуры инициализации устройства введите "0" и наж-
мите клавишу <Enter>.
Если в течение 5 секунд после появления последнего сообщения клавиша
<Enter> нажата не будет, ПО ЦУС автоматически завершит процедуру ини-
циализации.
После завершения инициализации на экране появится сообщение:
Успешный запуск <Дата, Время>
Примечание. Носитель, содержащий административный ключ, является идентификатором
администратора комплекса. Он необходим для запуска программы управления.
10.Извлеките носитель из считывающего устройства.
Загрузка ПО ЦУС осуществится автоматически. С этого момента устройство го-
тов к работе.
Примечание. В случае каких-либо нарушений в процедуре инициализации ЦУС повторите про-
цедуру инициализации.
11.Подключите интерфейсы КШ к сетевым коммуникациям в соответствии с на-
стройкой. Имена интерфейсов указаны на корпусе КШ рядом с соответству-
ющим разъемом.

Синхронизация БД ЦУС
Для поддержания актуальной базы данных на всех платформах ЦУС между КШ с
ЦУС должна производиться периодическая синхронизация, которая может
осуществляться как периодически как по расписанию,через определенный ин-
тервал времени, так и по команде администратора.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 122
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Для настройки автоматической синхронизации БД ЦУС:

Внимание! Перед настройкой автоматической синхронизация БД ЦУС при необходимости сфор-


мируйте временной интервал, в течение которого она будет происходить (см. [3] , параграф "Вре-
менной интервал"). По умолчанию имеется только один временной интервал "Постоянно",
означающий формат "24/7".
1. Вызовите контекстное меню раздела "Центр управления сетью" области
объектов управления и активируйте команду "Свойства…".
На экране появится окно настройки свойств ЦУС.

2. Для включения периодической автоматической синхронизации установите


отметку в поле "Синхронизировать по расписанию" и выберите требуемый
временной интервал в области "Расписание".
Внимание! Автоматическая синхронизация БД ЦУС сопровождается автоматической пе-
резагрузкой пассивных КШ с ПО ЦУС после каждого изменения конфигурации комплекса.
3. Нажмите кнопку "OK" в окне "Свойства ЦУС".

Для принудительной синхронизации БД ЦУС:

Внимание! Принудительная синхронизация БД ЦУС сопровождается перезагрузкой КШ с ПО ЦУС,


БД которых будет обновлена.
1. Для принудительной синхронизации пассивных устройств ЦУС вызовите
контекстное меню раздела "Центр управления сетью" области объектов
управления, активируйте команду "Свойства…", нажмите кнопку "Син-
хронизировать сейчас", а затем подтвердите операцию, нажав кнопку "ОК" в
появившемся окне подтверждения.
На экране появится окно настройки свойств ЦУС.
2. Для принудительной синхронизации одного или нескольких пассивных
устройств выберите их в списке криптошлюзов, вызовите контекстное меню
и выберите «Синхронизировать БД ЦУС», а затем подтвердите операцию, на-
жав кнопку "ОК" в появившемся окне подтверждения.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 123
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Смена режима работы КШ с ЦУС


Переключение в активный режим осуществляет администратор цен-
трализованно через ПУ ЦУС или локально на КШ с ЦУС.

Для переключения КШ с ЦУС в активный режим при локальном управ-


лении:
1. В главном меню (см. стр. 9 ) введите номер команды "Управление кон-
фигурацией" и нажмите клавишу <Enter>.
На экране появится меню управления КШ.
2. Введите номер команды "Перевести ЦУС в активный режим" и нажмите кла-
вишу <Enter>.
В меню управления КШ данная команда дополнится текстом "<функция недо-
ступна>".
3. Выйдите из режима настройки параметров, вводя номер команды "Выход" и
нажая клавишу <Enter>.
На экране появится сообщение:
Режим работы ЦУС: Активный
Дата и время изменения БД ЦУС (UTC): <Дата, Время>
4. Дождитесь загрузки конфигурации комплекса и появления сообщения:
Успешный запуск: <Дата, Время>.

Для переключения КШ с ЦУС в активный режим при цен-


трализованном управлении:
1. В ПУ ЦУС осуществите подключение к пассивному КШ с ЦУС (см. стр. 39 ) и
пройдите процедуру аутентификации (см. стр. 33).
На экране появится информационное окно.

2. Нажмите кнопку "Да".


ПУ ЦУС подключится к БД ЦУС, все КШ с ЦУС при этом примут состояние "От-
ключен".
3. Осуществите процедуру принудительной синхронизации БД ЦУС.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 124
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Глава 9
Обновление ПО комплекса
Общий порядок действий
Выполнение процедуры обновления программного обеспечения накладывает
определенные ограничения на управление комплексом в штатном режиме и
поэтому должно быть завершено в минимально допустимые сроки.
Примечание. Учетные данные и идентификаторы администраторов сетевых устройств комплекса
на отчуждаемых носителях в ходе процедуры обновления не изменяются.
Обновление программного обеспечения комплекса выполняется в следующем
порядке:
1. Подготовка к обновлению программного обеспечения комплекса (см. ниже).
2. Установка лицензии на обновление ПО комплекса (см. стр. 40).
3. Обновление ПО ЦУС, ПУ ЦУС, а также ПО сервера доступа (см. стр. 126).
4. В случае изменения системы журналирования — создание новой базы дан-
ных журналов и соответствующая настройка программного компонента
"Конфигуратор БД журналов ЦУС" (см. [5], параграф "Конфигуратор").
5. Обновление ПО прочих сетевых устройств комплекса (см. стр. 129).
6. Обновление программы управления сервером доступа (см. стр. 131).
7. Обновление ПО абонентского пункта (стр. 132).
8. Проверка работоспособности комплекса. В случае выявления сбоев ре-
комендуется провести процедуру смены ключей парной связи сетевых
устройств комплекса (см. стр. 91).
Внимание! Данная процедура приводится для обновления ПО комплекса версии 3.7.5 и выше. Для
обновления с более старых версий ПО рекомендуется обратиться в службу технической поддержки.
После обновления ПО ЦУС совместная работа ЦУС с сетевыми устройствами необ-
новленных версий имеет следующие особенности:
• На сетевых устройствах необновленных версий сохраняется работоспособ-
ность функций, настроенных до обновления ПО ЦУС.
• На сетевых устройствах необновленных версий настройка новых функций об-
новленного ПО ЦУС недоступна.
• Не рекомендуется вносить изменения в настройки сетевых устройств необ-
новленных версий. Если изменения необходимы, их следует выполнить до
обновления ПО ЦУС или после обновления ПО сетевого устройства.
• На сетевом устройстве не рекомендуется создавать и изменять правила
фильтрации и трансляции до обновления ПО сетевого устройства.
• Не рекомендуется создавать сетевые объекты и привязывать их к сетевым
устройствам необновленных версий.
• Для сетевых устройств необновленных версий сохраняется возможность
переустановки парных связей.
• Возможность смены ключей сетевого устройства в случае их компрометации
или истечения срока действия сохраняется.

Подготовка к обновлению программного обеспечения


Перед обновлением ПО комплекса необходимо выполнить следующие под-
готовительные действия:
1. Документирование всех настроек комплекса (идентификационные номера се-
тевых устройств, IP-адреса интерфейсов, структуру сети, действующие пра-

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 125
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

вила фильтрации и маршрутизации). Эти данные могут понадобиться в слу-


чае неудачной загрузки конфигурации из резервной копии.
2. Проверка сроков действия ключей КШ. Ключи с истекшим сроком действия
необходимо сменить (см. стр. 89 ). В противном случае после обновления
работоспособность сети будет нарушена.
3. При использовании однолетней схемы хранения ключей — сохранение клю-
чей сетевых устройств на внешние носители (см. стр. 89).
Примечание. Данная схема является базовой и присутствует на всех версиях комплекса. На-
чиная с версии 3.7 введена альтернативная усиленная трехлетняя схема хранения ключей.
4. Проверка правил фильтрации и трансляции (см. [ 3 ] ) . Правила, исполь-
зующие сервис IPv6-icmp, требуется удалить или скорректировать, чтобы ис-
ключить применение в них данного сервиса.
5. Резервное копирование конфигурации ЦУС (см. стр. 112).
6. Резервное копирование базы данных СД (см. [6 ], раздел "Управление ра-
ботой сервера доступа").
7. Создание резервного носителя с идентификатором администратора СД
(см. [6]).

Обновление ПО ЦУС, ПУ ЦУС


При обновлении ПО ЦУС используется резервная копия (файл конфигурации),
сохраненная при подготовке к обновлению и соответствующая более ранней вер-
сии ПО.

Для обновления ПО ЦУС:


1. Выполните установку ПО "Континент" на ЦУС (см. ниже).
2. Выполните инициализацию ЦУС с использованием файла конфигурации
(см. стр. 121).
3. На АРМ администратора удалите программу управления ЦУС старой версии
(см. стр. 41).
После удаления программы управления перезагрузите компьютер.
4. На АРМ администратора установите программу управления ЦУС новой версии
(см. [2]).
5. Запустите программу управления ЦУС и подключитесь к ЦУС (см. стр. 33).

Установка ПО "Континент"
АПКШ "Континент" поставляется на установочном компакт- диске с ПО. Если
аппаратная платформа не располагает соответствующим приводом необходимо
использовать внешний привод оптических дисков.

Для установки программного обеспечения:


1. Подключите к системному блоку сетевого устройства клавиатуру, монитор и
при необходимости внешний привод оптических дисков.
2. Вставьте входящий в комплект поставки CD/DVD-ROM в привод компакт-дис-
ков. Затем включите питание сетевого устройства.
На экране появится окно ПАК "Соболь", в центре которого будет отоб-
ражаться запрос персонального идентификатора:
Предъявите персональный идентификатор
3. Не дожидаясь автоматической загрузки сетевого устройства, аккуратно при-
ложите персональный идентификатор администратора ПАК "Соболь" к счи-
тывателю.
Совет. При автоматической загрузке сетевого устройства установка программного обес-
печения невозможна. В этом случае перезагрузите устройство и повторите процедуру.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 126
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

После успешного считывания информации из идентификатора на экране поя-


вится запрос пароля.
4. Введите пароль администратора, назначенный вами при смене пароля или
указанный в паспорте сетевого устройства (п. 2.2, графа "Пароль админи-
стратора по умолчанию").
Совет. Если для администратора не задан пароль по умолчанию, для продолжения работы наж-
мите клавишу <Enter>.
На экране появится предупреждение, подобное следующему:
"Внимание: Изменились параметры основного загрузочного
диска. Возможно, производится загрузка с внешнего
носителя. Сохранить новые параметры основного загрузочного
диска? (Да/Нет)"
Примечание. Если загрузка ПО осуществляется с USB-флеш-накопителя и вход в ПАК "Соболь"
выполнил не администратор, а пользователь, для которого установлен запрет загрузки ОС с
внешних носителей, на экране появится сообщение: "Параметры основного загрузочного диска
были изменены. Загрузка запрещена". При нажатии любой клавиши выдается сообщение: "Ком-
пьютер заблокирован".
5. Введите "Нет" и нажмите клавишу <Enter>.
На экране появится меню администратора:

Внимание! Выберите в меню администратора команду "Общие параметры системы" и уста-


новите для параметра "Автономный режим работы" значение "Нет".
Подробные сведения о работе с ПАК "Соболь" содержатся в руководстве администратора ПАК
"Соболь".
6. Нажмите клавишу <Enter>. Начнется загрузка ОС с предъявленного но-
сителя.
Примечание. Если на любом этапе установки произошла программная или аппаратная ошиб-
ка, осуществляется аварийная автоматическая перезагрузка сетевого устройства, которая не
сопровождается предупреждающими сообщениями. В этом случае рекомендуется повторить
процедуру сначала. При повторном возникновении ошибки необходимо обратиться в службу
технической поддержки предприятия-изготовителя.
По окончании загрузки ОС на экране появится меню:
1. Установка
2. Восстановление
3. Тестирование
Выберите номер варианта [1...3]:
7. Введите "1" и нажмите клавишу <Enter>.
На экране появится предупреждение:
Установка <<Континент>>
продолжить? (y/n):

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 127
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

8. Введите "y" и нажмите клавишу <Enter>.


На экране появится предупреждение:
********************** Внимание! **********************
ВСЕ данные на жестком диске будут БЕЗВОЗВРАТНО ПОТЕРЯНЫ!
продолжить? (y/n):
9. Введите "y" и нажмите клавишу <Enter>.
На экране появится меню выбора варианта установки:
Выберите вариант установки:
1: Шлюз
2: Шлюз с сервером доступа
3: ЦУС
4: ЦУС с сервером доступа
5: ДА
6: АРМ генерации ключей
7: Коммутатор
Введите номер варианта [1...7]:

Примечание. USB-флеш-накопитель содержит только один вариант установки ПО.


10.Введите номер нужного варианта и нажмите клавишу <Enter>.
На экране появится запрос:
Введите идентификатор:
11.Введите идентификационный номер сетевого устройства и нажмите клавишу
<Enter>.
Примечания:
• Идентификационный номер указан в п. 2.2 паспорта сетевого устройства и на его задней па-
нели.
• При установке или обновлении ПО резервного сетевого устройства введите иден-
тификационный номер основного сетевого устройства кластера. Идентификационные но-
мера основного и резервного сетевого устройства должны быть идентичны.
На экране появятся строка конфигурации данного сетевого устройства и
запрос на указание аппаратной платформы.
12. Введите номер варианта используемой аппаратной платформы и нажмите
клавишу <Enter>. Тип шасси аппаратной платформы указан в п. 1.2.1 пас-
порта сетевого устройства.
Начнется копирование файлов, запись данных в память ПАК "Соболь" и по-
становка файлов на контроль целостности. При успешном завершении про-
цессов на экране появится сообщение:
********* Инсталляция произведена успешно *********
После чего произойдет плановая автоматическая перезагрузка компьютера.
Во время перезагрузки извлеките носитель с устанавиваемым ПО из привода
или отсоедините от USB-порта.
Внимание! Если запись данных в память ПАК "Соболь" завершится с ошибкой, будет вы-
полнена автоматическая перезагрузка компьютера. В этом случае рекомендуется выполнить
инициализацию ПАК "Соболь" и повторить процедуру установки.
Компьютер перезагрузится, и на экране появится окно ПАК "Соболь", в цен-
тре которого будет отображаться запрос персонального идентификатора.
13. Для загрузки ОС и инициализации устройства выберите с помощью управ-
ляющих клавиш клавиатуры в меню администратора команду "Загрузка опе-
рационной системы" и нажмите клавишу <Enter>.
14.Перейдите к выполнению п. 7 процедуры инициализации ЦУС (см. [2]).

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 128
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Обновление программного обеспечения сетевых устройств


Для обновления ПО сетевых устройств используются файл обновления update_
all_release.tar, входящий в состав установочного компакт-диска комплекса.
Внимание! Версия обновления ПО сетевого устройства должна соответствовать версии об-
новленного ПО ЦУС.
При обновлении ПО сетевого устройства последовательно выполняют следую-
щие процедуры:
1. Удаление предыдущей версии файла обновления ПО.
2. Загрузка файла обновления на ЦУС.
3. Загрузка файла обновления на сетевое устройство.
4. Обновление файлов сетевых устройств.
Внимание! При обновлении ПО кластера:
• Основное и резервное устройства кластера должны находиться в рабочем режиме.
• Параметр "Режим обратного переключения" устройств кластера должен иметь значение "Ав-
томатический" (см. стр. 115).

Удаление предыдущей версии файла обновления ПО


Для удаления:
1. Вызовите контекстное меню папки "Центр управления сетью" и активируйте
команду "Свойства…".
На экране появится окно "Свойства ЦУС".
2. Нажмите кнопку "Удалить ПО", если она активна. Если кнопка недоступна,
значит файл последнего обновления уже удален.
На экране появится запрос для подтверждения операции удаления ПО.
3. Нажмите кнопку "Да" для удаления текущей версии ПО.

Загрузка файла обновления на ЦУС


Описанную ниже процедуру используют для загрузки файла обновления
update_ all_ release.tar для последующей загрузки на сетевые устройства комп-
лекса.

Для загрузки файла обновления на ЦУС:


1. Вызовите контекстное меню папки "Центр управления сетью" и активируйте
команду "Свойства…".
На экране появится окно "Свойства ЦУС".
2. Нажмите кнопку "Загрузить ПО".
На экране появится стандартное окно ОС Windows для открытия файла.
3. Откройте нужную папку, укажите файл обновления и нажмите кнопку "От-
крыть".
Примечание. При обновлении посредством компакт-диска с дистрибутивом ПО файл обнов-
ления находится в папке ...\Setup\Continent\UPDATE\.
Файл обновления будет скопирован на жесткий диск КШ с ЦУС. По окончании
процесса копирования на экран будет выведено соответствующее сооб-
щение.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 129
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

4. Закройте окно сообщения, нажав кнопку "OK".


В поле "Текущая версия" окна свойств ЦУС будет показан номер версии ПО,
содержащегося в файле обновления.
5. Нажмите кнопку "OK" для закрытия окна "Свойства ЦУС".

Загрузка файла обновления на сетевое устройство


Для загрузки файла обновления на сетевое устройство:
1. Вызовите контекстное меню объекта с именем нужного устройства и акти-
вируйте команду "Свойства…".
На экране появится окно свойств сетевого устройства.
2. Перейдите к вкладке "Версия ПО".
3. В группе полей "Время загрузки ПО" укажите нужное время и нажмите кноп-
ку "Загрузить ПО".
Примечание. При установке отметки в поле "Сейчас" загрузка файла обновления на устрой-
ство выполняется немедленно после закрытия окна.
Задание на загрузку файла обновления на сетевое устройство будет пере-
дано в ЦУС, а на экране появится сообщение об этом.
4. Закройте окно сообщения для возврата в окно свойств сетевого устройства.
5. Нажмите кнопку "OK" для закрытия окна свойств сетевого устройства.
В указанное время файл обновления будет загружен на сетевое устройство, а в
поле "Состояние" вкладки "Версия ПО" свойств сетевого устройства станет до-
ступной кнопка "Обновить ПО". В ходе загрузки в поле "Состояние" будет отоб-
ражаться прогресс загрузки ПО. После окончания загрузки в поле "Состояние"
будет отображена версия ПО обновления.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 130
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Обновление файлов сетевых устройств


Приведенную ниже процедуру выполняют после загрузки на сетевые устройства
файла обновления update_all_release.tar.

Для обновления:
1. Вызовите контекстное меню объекта с именем нужного сетевого устройства и
активируйте команду "Свойства…".
На экране появится окно свойств сетевого устройства.
2. Перейдите к вкладке "Версия ПО" и нажмите кнопку "Обновить ПО" для вы-
полнение процедуры обновления в текущий момент.
Примечание. При необходимости отложить проведение процедуры обновления в группе полей
"Время загрузки ПО" укажите нужное время и нажмите кнопку "Обновить ПО". На экране поя-
вится подтверждение о проведении обновления в указанный срок.
3. Закройте окно сообщения для возврата в окно свойств сетевого устройства.
4. Нажмите кнопку "OK" для закрытия окна свойств сетевого устройства.
В указанное время система приступит к обновлению ПО. В процессе обнов-
ления автоматически выполняется перезагрузка сетевого устройства. Из-
менение версии ПО по окончании процесса обновления можно увидеть в ПУ
ЦУС:
• в окне свойств сетевого устройства на вкладке "Версия ПО";
• при выборе папки ЦУС на панели навигации в области "Версия ПО".

Обновление программы управления СД


Обновление ПО СД осуществляется в ходе обновления ПО комплекса. При ини-
циализации СД создается идентификатор администратора СД (текущий),
предназначенный для запуска ПУ СД.
ПУ СД является компонентом пакета программ администрирования комплекса.
Его инсталляция осуществляется с установочного диска, содержащего ПО новой
версии комплекса.
Внимание! Перед выполнением обновления:
• завершите работу программы управления и программы просмотра журнала, иначе обновление
завершится с ошибкой;
• подготовьте внешние носители с текущим и прежним идентификаторами администратора СД.

Для обновления ПУ СД:


1. Удалите ПУ СД с РМ администратора СД средствами ОС Windows.
2. Установите компонент ПУ СД на компьютер (см. [2], параграф "Установка па-
кета программ администрирования комплекса"). В ходе установки выберите
"Выборочный" вариант установки и отметьте в списке устанавливаемых
компонентов пункт "Программа управления СД".

3. Запустите ПУ СД, предъявите текущий идентификатор администратора СД и


установите соединение с СД.
На экране появится запрос на ввод пароля.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 131
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

4. Введите пароль, указанный при инициализации СД.


5. После успешного соединения с СД выберите в разделе "Настройки сервера"
команду "Восстановить" и укажите файл резервной копии БД, созданной на
этапе подготовки к обновлению ПО.
После восстановление БД появится сообщение о успешном завершении про-
цесса и необходимости переподключиться к СД с прежним идентификатор
администратора СД.
6. Предъявите требуемый носитель и затем нажмите кнопку "Установка/разрыв
связи с сервером" в левой нижней части окна.
Появится запрос на ввод пароля.
7. Укажите пароль для расшифровки ключей администратора и нажмите кнопку
"OK".
Произойдет соединение с СД.

Обновление абонентского пункта


Текущая версия ПО СД работает с АП версии 3.7.7. Обновление АП до версии
3.7.7 возможно только с версии 3.7.5. В остальных случаях необходимо выпол-
нить следующие действия:
1. Удалите АП средствами ОС Windows.
2. Перезагрузите компьютер.
3. Установите АП на компьютер (см. документацию СКЗИ "Континент-АП"). При
установке используйте установочный диск, содержащий ПО новой версии.
4. Настройте АП (см. документацию СКЗИ "Континент-АП").
Примечание. Допустимо использовать установленные ранее клиентские сертификаты. Но сле-
дует учесть что сертификаты, выпущенные по ГОСТ Р 34.10- 2001, действуют только до
31 декабря 2019 года.

Для обновления АП с версии 3.7.5:


• Установите АП на компьютер (см. документацию СКЗИ "Континент-АП"). При
установке используйте установочный диск, содержащий ПО новой версии.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 132
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Приложение
Протоколы и порты
В данном разделе представлены сведения о протоколах и портах, используемых
для связи между компонентами комплекса.
Если на пути зашифрованного трафика находятся межсетевые экраны или дру-
гое оборудование, осуществляющее фильтрацию IP- пакетов, необходимо со-
здать для них правила, разрешающие прохождение служебных пакетов
комплекса по протоколам и портам, указанным в таблице.

Протокол/
Описание Источник/получатель
порт

TCP/22 Передача данных SSH РМ / СУ

TCP/443 Обмен сообщениями АП / СД.


при включенном на АП режиме защищенного соединения СД / АП
"Потоковое подключение
(TCP)" или "Подключение через прокси-сервер"

TCP/4431, Обмен сообщениями. ПУ СД / СД.


1025-65535 ПУ СД и агент ЦУС и СД устанавливают подключение со СД / ПУ СД.
случайного порта из диапазона 1025-65535 к СД на порт Агент ЦУС и СД / СД.
4431. СД отвечает с порта 4431 на тот порт компьютера с ПУ СД / агент ЦУС и СД
СД или с агентом ЦУС и СД, с которого пришло подключение

TCP/4444 Передача сообщений. ПУ ЦУС / ЦУС.


ПУ ЦУС, агент ЦУС и СД, агент обновлений БРП, агент РКН Агент ЦУС и СД / ЦУС.
устанавливают подключение со случайного порта 1024- ЦУС / агент ЦУС и СД.
65535 на порт ЦУС 4444. ЦУС отвечает на тот порт, с Аент ЦУС и СД / ЦУС.
которого было обращение Агент обновлений БРП /
ЦУС.
ЦУС / агент обновлений
БРП.
Агент РКН / ЦУС.
ЦУС / агент РКН

TCP/4445 Передача обновлений ПО ПУ ЦУС / ЦУС

Обмен сообщениями. ПУ ЦУС / агент ЦУС и СД.


ПУ ЦУС устанавливает подключение со случайного порта из Агент ЦУС и СД / ПУ ЦУС
диапазона 1024-65535 на порт ЦУС 4445. ЦУС отвечает на
тот порт, с которого было обращение

TCP/4446 Аутентификация в защищенном сегменте сети. Клиент аутентификации /


Клиент аутентификации устанавливает подключение со ЦУС.
случайного порта 1024-65535 на порт ЦУС 4446. ЦУС ЦУС / Клиент
отвечает на тот порт, с которого было обращение аутентификации

TCP/5100 Передача сообщений ЦУС / КШ

Обмен сообщениями в кластере. Основной КШ /


Узел кластера обращается к парному со случайного порта резервный КШ.
из диапазона 10000-65535 на порт 5100. Парный отвечает Резервный КШ /
на тот порт, с которого было обращение основной КШ

TCP/5101 Обмен сообщениями. КШ / ЦУС.


КШ устанавливает подключение со случайного порта ЦУС / КШ
10000-65535 на порт ЦУС 5101. ЦУС отвечает на тот порт, с
которого было обращение

TCP/5103 Передача файлов. ЦУС / КШ.


КШ устанавливает подключение со случайного порта КШ / ЦУС
10000-65535 на порт ЦУС 5103. ЦУС отвечает на тот порт, с
которого было обращение

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 133
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Протокол/
Описание Источник/получатель
порт

TCP/7500 Обмен сообщениями. СД / АП.


Порт на клиентской стороне фиксирован (7500) АП / СД

UDP/123 Передача данных синхронизации NTP ЦУС / СУ.

UDP/161 Передача данных SNMP РМ администратора / СУ

UDP/5101 Передача сообщений от КШ к ЦУС. КШ / ЦУС.


КШ обращается с порта 5100 на порт ЦУС 5101. ЦУС ЦУС / КШ
отвечает с порта 5101 на порт 5100

UDP/5106 Поддержка работы КШ за NAT-узлом. КШ / ЦУС


UDP/5107 В зависимости от используемых классов трафика, КШ
отправляют пакеты с портов 10000-10031 на порты ЦУС
5106-5107

UDP/5557 Обмен сообщениями об активности между КШ в кластере Основной КШ /


(с порта 5557 на порт 5557) резервный КШ.
Резервный КШ /
основной КШ

UDP/4433 Обмен сообщениями между СД и АП. АП / СД.


4433 порт установлен по умолчанию, изменяется в СД / АП
программе управления СД

UDP/7500 Обмен сообщениями. СД / АП.


Порт на клиентской стороне фиксирован (7500) АП /СД

UDP/10000- Передача зашифрованного трафика. В зависимости от СУ / СУ.


10031 используемых классов трафика, узлы обмениваются СУ / ЦУС.
пакетами с портов 10000-31 на соответствующие порты ЦУС / СУ
10000-31

Права пользователей на администрирование комплекса


("+" — элемент управления доступен, "–" — элемент управления недоступен)

Роль пользователя
Элемент управления программы
управления ЦУС Главный Администратор Администратор
Аудитор
администратор сети ключей

Управление правилами
фильтрации

Просмотр правил фильтрации + + – +

Изменение правил фильтрации + + – –

Просмотр регулярных выражений + + + +


правил фильтрации

Изменение регулярных выражений + – – –


правил фильтрации

Управление настройками сетевого


устройства

Сбросить признак НСД + + – +

Обновить конфигурацию + + – –

Сохранение конфигурации… + + – –

Сохранить текущие ключи на носитель + – + –

Удалить сетевое устройство + + – –

Перезагрузить сетевое устройство + + – –

Загрузить ключи сетевого устройства с + – + –


носителя на ЦУС

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 134
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Роль пользователя
Элемент управления программы
управления ЦУС Главный Администратор Администратор
Аудитор
администратор сети ключей

Сменить все ключи парной связи + – + –


сетевого устройства

Очистить таблицу состояний + + + +


соединений

Свойства сетевого устройства —
 Общие

Название + + – –

Описание + + + +

Введен в эксплуатацию + + – –

Мягкий режим + + – –

Минимальный размер сжимаемого + + – –


пакета

Период контроля целостности файлов + + – +

Часовой пояс + + – –

Аутентификация пользователей + – – –

Свойства сетевого устройства —
 Журналы

Максимальные размеры журналов + – – +

Регистрировать в журнале сетевого + – – +


трафика пакеты

Свойства сетевого устройства — + + – –
Интерфейсы

Свойства сетевого устройства — + + – –
Маршрутизация

Свойства сетевого устройства — + + – –
Резервирование

Настройки ЦУС

Сохранить файл конфигурации + + – –

Загрузить файл конфигурации + + – –

Создать резервные ключи сетевого + – + –


устройства

Свойства ЦУС — Журналы

Максимальные размеры журналов + – – +

Настройки программы
управления

Параметры соединения с ЦУС + + + +

Параметры соединения с агентом + + + +

Режим входа + – + –

Настройка агента + – – +

Очередь заданий сетевого


устройства

Просмотр очереди заданий + + – –

Очистить очередь заданий + + – –

Управление пользователями

Просмотр учетных записей + – – –

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 135
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Роль пользователя
Элемент управления программы
управления ЦУС Главный Администратор Администратор
Аудитор
администратор сети ключей

Изменение учетной записи + – – –

Модуль поддержки SNMP


Описание модуля
Модуль поддержки SNMP реализует обслуживание запросов "на чтение", а также
отправку trap-сообщений при наступлении ряда событий.
В состав модуля входят два файла: snmp-сервер — исполняемый файл и файл
конфигурации.
При запуске сервер считывает файл конфигурации. В случае его отсутствия сер-
вер останавливает свою работу.
Модуль SNMP, реализованный в комплексе, протестирован с версией протокола
SNMP 2.01.

Данные, предоставляемые модулем поддержки SNMP


Вся совокупность возможных выдаваемых модулем поддержки SNMP данных при-
ведена ниже.
Общесистемные данные:

Идентификатор объекта Объект

1.3.6.1.2.1.1.1.0 "sysDescr"

1.3.6.1.2.1.1.2.0 “sysObjectId”

1.3.6.1.2.1.1.3.0 "sysUpTime"

1.3.6.1.2.1.1.4.0 "sysContact"

1.3.6.1.2.1.1.5.0 "sysName"

1.3.6.1.2.1.1.6.0 "sysLocation"

1.3.6.1.2.1.1.7.0 "sysServices"

1.3.6.1.2.1.1.8.0 "sysORLastChange"

Информация о сетевых интерфейсах:

Идентификатор объекта Объект

1.3.6.1.2.1.2.1.0 "ifNumber"

1.3.6.1.2.1.2.2.1.1. "ifIndex"

1.3.6.1.2.1.2.2.1.2. "ifDescr"

1.3.6.1.2.1.2.2.1.3. "ifType"

1.3.6.1.2.1.2.2.1.4. "ifMtu"

1.3.6.1.2.1.2.2.1.5. "ifSpeed"

1.3.6.1.2.1.2.2.1.6. "ifPhysAddress"

1.3.6.1.2.1.2.2.1.7. "ifAdminStatus"

1.3.6.1.2.1.2.2.1.8. "ifOperStatus"

1.3.6.1.2.1.2.2.1.9. "ifLastChange"

1.3.6.1.2.1.2.2.1.10. "ifInOctets"

1.3.6.1.2.1.2.2.1.11. "ifInUcastPkts"

1.3.6.1.2.1.2.2.1.12. "ifInNUcastPkts"

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 136
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Идентификатор объекта Объект

1.3.6.1.2.1.2.2.1.13. "ifInDiscards"

1.3.6.1.2.1.2.2.1.14. "ifInErrors"

1.3.6.1.2.1.2.2.1.15. "ifInUnknownProtos"

1.3.6.1.2.1.2.2.1.16. "ifOutOctets"

1.3.6.1.2.1.2.2.1.17. "ifOutUcastPkts"

1.3.6.1.2.1.2.2.1.18. "ifOutNUcastPkts"

1.3.6.1.2.1.2.2.1.19. "ifOutDiscards"

1.3.6.1.2.1.2.2.1.20. "ifOutErrors"

1.3.6.1.2.1.2.2.1.21. "ifOutQLen"

1.3.6.1.2.1.2.2.1.22. "ifSpecific"

1.3.6.1.2.1.31.1.1.1.1. "ifName"

1.3.6.1.2.1.31.1.1.1.2. "ifInMulticastPkts"

1.3.6.1.2.1.31.1.1.1.3. "ifInBroadcastPkts"

1.3.6.1.2.1.31.1.1.1.4. "ifOutMulticastPkts"

1.3.6.1.2.1.31.1.1.1.5. "ifOutBroadcastPkts"

1.3.6.1.2.1.31.1.1.1.6. "ifHCInOctets"

1.3.6.1.2.1.31.1.1.1.7. "ifHCInUcastPkts",

1.3.6.1.2.1.31.1.1.1.8. "ifHCInMulticastPkts"

1.3.6.1.2.1.31.1.1.1.9. "ifHCInBroadcastPkts"

1.3.6.1.2.1.31.1.1.1.10. "ifHCOutOctets"

1.3.6.1.2.1.31.1.1.1.11. "ifHCOutUcastPkts"

1.3.6.1.2.1.31.1.1.1.12. "ifHCOutMulticastPkts"

1.3.6.1.2.1.31.1.1.1.13. "ifHCOutBroadcastPkts"

1.3.6.1.2.1.31.1.1.1.14. "ifLinkUpDownTrapEnable"

1.3.6.1.2.1.31.1.1.1.15. "ifHighSpeed"SNMP_NODE_COLUMN.

1.3.6.1.2.1.31.1.1.1.16. "ifPromiscuousMode"

1.3.6.1.2.1.31.1.1.1.17. "ifConnectorPresent"

1.3.6.1.2.1.31.1.1.1.18. "ifAlias"SNMP_NODE_COLUMN.

1.3.6.1.2.1.31.1.1.1.19. "ifCounterDiscontinuityTime"

1.3.6.1.2.1.4.1. "ipForwarding"

1.3.6.1.2.1.4.20.1.1. "ipAdEntAddr"

1.3.6.1.2.1.4.20.1.2. "ipAdEntIfIndex"

1.3.6.1.2.1.4.20.1.3. "ipAdEntNetMask"

1.3.6.1.2.1.4.20.1.4. "ipAdEntBcastAddr"

1.3.6.1.2.1.4.20.1.5. "ipAdEntReasmMaxSize"

1.3.6.1.4.1.34849.10.1.1 "wan channel failed"

Необходимая статистика:

Идентификатор объекта Объект

1.3.6.1.4.1.9.9.109.1.1.1.1.5.0 "cpmCPUTotal5min"

1.3.6.1.4.1.9.9.171.1.2.1.25.0 "cikeGlobalHashValidFails"

1.3.6.1.4.1.9.9.171.1.3.1.9.0 "cipSecGlobalInPkts"

1.3.6.1.4.1.9.9.171.1.3.1.23.0 "cipSecGlobalOutDrops"

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 137
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Файл /etc/snmp.conf
Обязательные параметры
Объявление имени community на чтение:
snmpdCommunityString.0.1="имя_community"
Значение этого параметра выступает в качестве "пароля" при обработке вхо-
дящего запроса. Необъявление этого параметра, а также использование другого
его значения при обращении к серверу приведет к "молчанию" сервера.
Адрес привязки сервера:
snmpdPortStatus.[адрес].порт=1/2
Указываются IP-адрес интерфейса и порт, к которому будет привязан сервер. В
качестве значения используется разрешение/запрещение данной привязки. 1 —
разрешить, 2 — запретить. Возможно объявление нескольких адресов или од-
ного общего 0.0.0.0. Обычно используемый порт 161.

Необязательные параметры
Адрес отправки trap-сообщений:
TrapSinkComm.[адрес trap_сервера].порт = "имя_trap_community"
Указываются IP-адрес и порт trap-сервера, на который snmp-сервер будет от-
сылать trap-сообщения. В качестве значения используется trap-community. Воз-
можно объявление нескольких адресов. Обычно используемый порт 162.
Размер буфера передачи и приема:
snmpdTransmitBuffer="размер буфера передачи"
snmpdReceiveBuffer="размер приемного буфера"
По умолчанию определены равными 2048 байт. В случае необходимости через
эти параметры данные размеры можно изменить.
В качестве символа комментария используется #. Комментируется вся строка.
Файл должен оканчиваться символом перевода каретки.

Пример файла /etc/snmp.conf


snmpdCommunityString.0.1 = "public"
# open standard SNMP ports
snmpdPortStatus.[10.4.0.98].161=1
snmpdPortStatus.[10.4.0.205].161=1
# send traps to the traphosts
trapSinkComm.[10.4.0.98].162 = "mytrap"
trapSinkComm.[10.4.0.205].162 = "mytrap"

sysContact      = "m.astapov@SecurityCode.ru"
sysLocation     = "room 201"

Особенности
Для того чтобы с комплексом можно было работать из пакета Cisco Works, в ре-
ализации модуля поддержки SNMP объекту sysObjectID установлено значение,
соответствующее Cisco PIX Firewall. По этой причине комплекс опознается как
Cisco PIX Firewall.
Индикация состояния модемного соединения выполнена следующим образом.
Объект ifOperStatus для соответствующего интерфейса (типа tun) будет при-
нимать следующие значения:
• up, если интерфейс подключен к линии;
• down, если интерфейс отключен от линии;
• testing, если интерфейс (модем) находится в процессе подключения к линии.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 138
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Формат и примеры конфигурационных файлов


Для создания конфигурационных файлов можно использовать любой текстовый
редактор, например "Блокнот".
В конфигурационных файлах должны быть определены:
• маршруты по умолчанию;
• статические маршруты, которые должны быть загружены в таблицу марш-
рутизации.
В конце конфигурационных файлов должна быть пустая строка.

Формат конфигурационного файла OSPF


В таблицах ниже представлены основные параметры конфигурационных фай-
лов, используемые для настройки динамической маршрутизации.

Табл.15 Формат файла zebra.conf

Параметр Описание

hostname <имя хоста> Установка имени хоста

log stdout Установка режима протоколирования


на консоль

log file/var/zebra.log Экспорт журналов событий


динамической маршрутизации
из КШ на USB-флеш-накопитель
(локально)

ip route <адрес/маска> <шлюз> Определение статического маршрута


и маршрута
по умолчанию

Табл.16 Формат файла ospfd.conf

Параметр Описание

router ospf Включение OSPF-процесса

network <адрес/маска> area <номер> Определение диапазона адресов


интерфейсов, которые используются
для обмена служебной информацией
в процессе OSPF-маршрутизации

interface <имя> Определение имени интерфейса,


используемого для обмена
служебной информацией в процессе
OSPF-маршрутизации

ip ospf authentication message-digest Установка режима аутентификации


OSPF-маршрутизатора

ip ospf message-digest-key 1 Установка аутентификационного


<алгоритм> <ключ> ключа OSPF-маршрутизатора.
Использовать указанный
алгоритм и ключ (ключ может
достигать длины
16 символов)

Примеры конфигурационных файлов


Данный пример иллюстрирует создание конфигурационных файлов для КШ в ти-
повой схеме включения, показанной на рисунке ниже.
Защищаемая сеть 192.168.1.0/24 (например, территориальный филиал какой-
либо организации) для связи с другим удаленным филиалом (на рисунке не

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 139
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

показан) использует подсеть 10.2.0.0/26 с маршрутизаторами, под-


держивающими OSPF.
В состав защищаемой сети входит подсеть 120.0.0.0/8. Для связи с подсетью
используется маршрутизатор без OSPF (192.168.1.30).

Для того чтобы обеспечить динамическую маршрутизацию при прохождении тра-


фика между подсетью 120.0.0.0/8 и другим удаленным филиалом, на КШ должна
быть выполнена настройка динамической маршрутизации.
Для приведенной выше схемы конфигурационные файлы имеют следующий
вид:

zebra.conf
hostname continent
log stdout
# статический маршрут в подсеть
ip route 120.0.0.0/8 192.168.1.30

ospfd.conf
log stdout
router ospf
network 10.2.0.0/26 area 0.0.0.1
area 0.0.0.1 authentication message-digest
# разрешается анонсирование статических маршрутов
redistribute static
interface fxp0
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 1234567890

Формат конфигурационного файла BGP


В таблицах ниже представлены основные параметры конфигурационных фай-
лов, используемые для настройки динамической маршрутизации по протоколу
BGP.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 140
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Табл.17 Формат файла zebra.conf

Параметр Описание

hostname <имя хоста> Установка имени хоста

interface <имя> Установка интерфейса

ip forwarding Включение пересылки IP-пакетов

line vty Включение режима конфигури-


рования интерфейса VTY

exec-timeout <минуты секунды> Установка времени ожидания подклю-


чения по VTY

log stdout Установка режима протоколирования


на консоль

log file /var/zebra.log Экспорт журналов событий


динамической маршрутизации
из КШ на USB-флеш-накопитель
(локально)

Табл.18 Формат файла bgpd.conf

Параметр Описание

hostname <имя хоста> Установка имени хоста

router bgp <имя АС> Включение BGP-процесса для АС

bgp router-id <идентификатор> Установка ИД роутера


bgp log-neighbor-changes Включение регистрации изменений
состояния BGP-соседей

no synchronization Отключение синхронизации


маршрутов

network <IP-диапазон> Объявление сети для всех соседей

neighbor <IP-адрес> remote-as <имя АС> Создание соседа

neighbor <IP-адрес> weight <величина> Указание веса соседа (больший при-


оритет имеет сосед с большим весом)

log stdout Установка режима протоколирования


на консоль

log file /var/bgp.log Экспорт журналов событий


динамической маршрутизации
из КШ на USB-флеш-накопитель
(локально)

Примеры конфигурационных файлов


Данный пример иллюстрирует создание конфигурационных файлов для КШ в ти-
повой схеме включения, показанной на рисунке ниже.

Для приведенной выше схемы конфигурационные файлы имеют следующий


вид:

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 141
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

zebra.conf для Host 1


hostname CUS
interface em0
ip forwarding
line vty
exec-timeout 0 0
log stdout
log file /var/bgp.log

bgpd.conf для Host 1


hostname CUS
router bgp 10
bgp router-id 1.1.1.1
bgp log-neighbor-changes
no synchronization
network 1.1.1.0/24
neighbor 1.1.1.100 remote-as 100
neighbor 1.1.1.100 weight 2000
neighbor 1.1.1.200 remote-as 200
neighbor 1.1.1.200 weight 1000
log stdout
log file /var/bgp.log

zebra.conf для Host 2


hostname CGW2
interface em0
ip forwarding
line vty
exec-timeout 0 0
log stdout
log file /var/bgp.log

bgpd.conf для Host 2


hostname CGW2
router bgp 20
bgp router-id 2.2.2.2
bgp log-neighbor-changes
no synchronization
network 2.2.2.0/24
neighbor 2.2.2.100 remote-as 100
neighbor 2.2.2.100 weight 2000
neighbor 2.2.2.200 remote-as 200
neighbor 2.2.2.200 weight 1000
log stdout
log file /var/bgp.log

Метасимволы в регулярных выражениях


В системе регулярные выражения используются для осуществления расши-
ренного поиска. Регулярное выражение представляет собой поисковый шаблон
в виде строки, состоящей из обычных символов и метасимволов. Например, для
поиска имен пользователей Ivanov или Ivanof можно использовать следующее
регулярное выражение: Ivano (v|f), где | является метасимволом логического
ИЛИ.
Ниже в таблице представлены метасимволы, наиболее применяемые в процессе
расширенного поиска.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 142
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Метасимвол Назначение Пример

. Любой символ По шаблону a.c могут быть найдены


(точка) последовательности символов abc, anc, a4c и т. п.

+ Совпадение 1 или По шаблону a+ могут быть найдены


более раз последовательности a, aa, aaa, aaaa и т. д.

? Совпадение 1 или 0 По шаблону ab?c могут быть найдены две


раз последовательности abc и ac

* Совпадение 0 или По шаблону ab*c могут быть найдены


более раз последовательности ac, abc, abbc, abbbc, abbbbc и
т. п.

{n} Совпадение ровно n По шаблону a{5} может быть найдена


раз последовательность aaaaa

{n,} Совпадение По шаблону a{3,} могут быть найдены


не менее n раз последовательности aaa, aaaa, aaaaa и т. д.

{n,m} Совпадение от n до По шаблону a{3,5} могут быть найдены


m раз последовательности aaa, aaaa, aaaaa

[…] Множество По шаблону [abc] могут быть найдены


символов последовательности, включающие любой из
указанных в шаблоне символов: at, bnm, cvbn и др.

[^…] Множество По шаблону [^abc] могут быть найдены любые


символов, кроме последовательности, за исключением abc
перечисленных в
списке

| Логическое ИЛИ По шаблону a|b будут найдены символы a или b

^ Начало строки По шаблону ^Int будет найдена строка,


начинающаяся символами Int. Например: Internet

$ Конец строки По шаблону net$ будет найдена строка,


заканчивающаяся символами net. Например:
Internet

Диагностика сетевого устройства


Средствами ПУ ЦУС можно выполнить диагностику работы сетевого устройства.
Результаты диагностики представляются в виде следующих отчетов:

Отчет Описание

Ресурсы сетевого Информация о загруженности каждого процессора.


устройства Общий и свободный объем оперативной памяти.
Общий объем жесткого диска, а также объем используемого и
свободного пространства.
Максимальные и текущие объемы журналов

arp/ndp Содержимое ARP- и NDP-кеша

ping* Результаты выполнения команды ping

traceroute* Результаты выполнения команды traceroute

tcpdump Информация о сетевом трафике выбранного интерфейса с


возможностью применения фильтра в формате tcpdump. Отчет
выводится в окне в виде текстового файла. Для сетевого
устройства, выведенного из эксплуатации, предусмотрено
сохранение отчета в двоичном коде для последующего
просмотра специализированным приложением

Таблица состояний Количество установленных соединений с возможностью


(только для КШ) раздельного просмотра сессий IPv4 и IPv6. При просмотре
сессий могут быть использованы фильтр и функция поиска

Сетевые соединения Сведения об открытых сетевых соединениях

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 143
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Отчет Описание

Шифратор (только для Статистическая информация о работе


КШ и КК) шифратора/криптокоммутатора

Технологический отчет Технологический отчет, выгружаемый на отчуждаемый


носитель для отправки в службу поддержки

Пропущенные пакеты Сведения о количестве пропущенных пакетов


(только для ДА)

*Для выполнения команд ping и traceroute на устройстве автоматически создаются временные пра-
вила фильтрации, разрешающие прохождение соответствующих пакетов.

Для формирования отчета:


1. Выберите в списке сетевое устройство, вызовите контекстное меню и выбе-
рите пункт "Диагностика".
На экране появится окно "Диагностика".
2. Перейдите на вкладку нужного отчета, настройте при необходимости его
параметры и нажмите кнопку "Выполнить".
В зависимости от выбранного отчета результат будет выведен в окне "Диа-
гностика сетевого устройства " или сохранен в соответствии с заданными
настройками.
Внимание! При формировании нескольких отчетов задания по их подготовке и отображению ста-
вятся в очередь с выводом на экран соответствующего предупреждения. Формирование каждого
следующего отчета начинается только после завершения предыдущего. Поэтому не рекомендуется
закрывать окно диагностики до вывода на экран очередного отчета, так как при закрытии окна фор-
мируемый отчет не сохраняется.

Сохранение базы данных ЦУС


В случае возникновения проблем, связанных с функционированием комплекса,
может потребоваться передача копии БД ЦУС в службу технической поддержки.
В этом случае необходимо создать копию БД ЦУС. Файл копии не содержит
конфиденциальной информации и предназначен исключительно для анализа в
службе технической поддержки.
Внимание! Запрещается загрузка файла копии базы данных в БД ЦУС.

Для сохранения копии БД ЦУС:


1. Активируйте в контекстном меню "ЦУС" команду "Сохранить диагности-
ческий файл БД ЦУС...".
На экране появится окно задания пароля.
2. Введите и подтвердите пароль.
На экране появится стандартное окно ОС Windows для сохранения файла.
3. Укажите путь сохранения файла копии БД ЦУС, при необходимости измените
имя и нажмите кнопку "OK".
Примечание. Копия БД ЦУС сохраняется в виде файла с расширением *.support_cfg.
Файл копии БД ЦУС будет сохранен, на экране появится окно об успешном
завершении операции.
4. Нажмите кнопку "ОК" и передайте файл и пароль в службу технической под-
держки (см. стр. 7).

Аппаратное тестирование сетевого устройства


Аппаратное тестирование может выполняться в ходе инициализации сетевого
устройства и при последующей настройке его параметров средствами локаль-
ного управления.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 144
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Для аппаратного тестирования применяется набор тестов, с помощью которых


проверяются:
• жесткий диск;
• процессор;
• оперативная память;
• память ПАК "Соболь";
• датчик случайных чисел ПАК "Соболь";
• сетевые интерфейсы.

Для запуска теста:


1. Введите в главном локальном меню номер команды "Тестирование" и наж-
мите клавишу <Enter>.
На экране появится меню выбора теста, подобное следующему:
Тестирование

1: Тестирование диска
2: Тестирование процессора
3: Тестирование памяти
4: Тестирование сетевых интерфейсов
5: Общий тест
0: Выход
Выберите пункт меню (0–5):
2. Введите номер команды требуемого теста и нажмите клавишу <Enter>.
В зависимости от выбора на экране появятся соответствующие инструкции
по выполнению дополнительных действий для проведения теста.

Тестируемый
Описание тестирования
объект

Диск Проверка наличия сбойных секторов жесткого диска

Процессор Проверка работы процессора. Необходимо задать время


тестирования – от 1 до 99 минут

Память Проверка оперативной памяти

Сеть/сетевые Проверка работы сетевых интерфейсов. Перед запуском теста


интерфейсы необходимо присоединить сетевые интерфейсы к общему
коммутатору и соединить оптические интерфейсы в пары

Память ПАК Тестирование памяти ПАК "Соболь" на чтение и запись


"Соболь"

Датчик слу- Проверка работоспособности датчика случайных чисел ПАК


чайных чисел "Соболь"

Общий Последовательное выполнение всех перечисленных выше


тестов с предварительным выполнением соответствующих
дополнительных действий

3. Дождитесь сообщения о завершении тестирования и нажмите клавишу


<Enter>.
Будет выполнен возврат в меню выбора теста.
4. Для выхода из режима тестирования введите номер команды "Выход" и наж-
мите клавишу <Enter>.

Загрузка сведений о запрещенных ресурсах


Порядок получения сведений о запрещенных ресурсах единого реестра при-
веден на портале Роскомнадзора по адресу http://vigruzki.rkn.gov.ru/.
Сведения (выгрузка) представляют собой xml-файл, который должен быть за-
гружен в БД ЦУС.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 145
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Загрузка файла в БД ЦУС может быть выполнена вручную средствами ПУ ЦУС или
автоматически агентом Роскомнадзора (о настройке и работе агента см. стр.
108).

Для загрузки файла вручную:


1. В ПУ ЦУС выберите команду "ЦУС | Загрузить файл реестра запрещенных ре-
сурсов".
На экране появится стандартное окно ОС Windows для выбора файла.
2. Укажите файл выгрузки и нажмите в окне кнопку "Открыть".
Сведения о запрещенных ресурсах будут загружены в БД ЦУС.

Для просмотра сведений о запрещенных ресурсах в БД ЦУС:


• В ПУ ЦУС в окне объектов раскройте папку "Центр Управления Сетью\ Груп-
пы сетевых объектов\ Реестр запрещенных ресурсов".
В главном окне отобразится список запрещенных ресурсов. В до-
полнительном окне отобразится список правил фильтрации, в которых
используется группа сетевых объектов "Реестр запрещенных ресурсов".
Примечание. Если такие правила фильтрации не создавались, список в дополнительном окне
будет пустым.
Группа "Реестр запрещенных ресурсов" удалению и редактированию не подле-
жит.

Звуковые сообщения о работе сетевого устройства


При отсутствии монитора работа сетевого устройства контролируется с помощью
звуковых сигналов.

Табл.19 Информационные сообщения

Сигнал Причина Действие

Три коротких слитых вместе высоких сигнала Необходимо предъявить Прислоните и


с понижающейся частотой персональный идентификатор удерживайте
персональный
идентификатор

Два коротких высоких сигнала одинаковой Идентификатор пользователя Нет


частоты успешно считан

Три коротких слитых вместе высоких сигнала Осуществляется загрузка Нет


с повышающейся частотой операционной системы

Три коротких слитых вместе низких сигнала Осуществляется перезагрузка Нет


с понижающейся частотой компьютера

Табл.20 Сообщения о неправильном вводе информации

Сигнал Причина Действие

Один Плохой контакт идентификатора со Плотнее удерживайте персональный


длинный считывателем или предъявлен неверный идентификатор или предъявите верный
высокий персональный идентификатор персональный идентификатор
сигнал

Табл.21 Сообщения о выполняемых действиях

Сигнал Причина Действие

Три коротких высоких сигнала, затем один Необходима перезагрузка сетевого Нажмите кнопку
низкий сигнал устройства Reset

Короткий высокий сигнал, затем длинный Необходима перезагрузка сетевого Нажмите кнопку
низкий сигнал устройства Reset

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 146
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Сигнал Причина Действие

Три длинных низких сигнала Необходима перезагрузка сетевого Нажмите кнопку


устройства Reset

Табл.22 Сообщения о необходимости вмешательства специалиста

Сигнал Причина Действие

Сирена из Нарушена целостность списка пользователей, Подключите к сетевому устройству


шести журнала событий или системных переменных ПАК. монитор, войдите с правами
сигналов Отсутствуют файлы шаблонов для контроля администратора в ПАК и устраните
высокой целостности на диске либо неверно указаны пути ошибку
частоты к файлам с шаблонами на USB-флеш-накопителе.
Была нарушена целостность файлов

Табл.23 Сообщения о фатальной ошибке

Сигнал Причина Действие

Шесть Не удается определить адрес Произведите инициализацию ПАК "Соболь",


коротких платы. измените настройки компьютера или замените плату
высоких Тест корректности работы ПАК "Соболь" на исправную
сигналов процессора завершился с ошибкой.
Чтение флеш-памяти завершилось
с ошибкой.
Целостность кода нарушена.
Ошибка чтения или записи ОЗУ.
Нарушена целостность ОЗУ.
Не удается выбрать для работы
внешний считыватель
персонального идентификатора

Особенности эксплуатации КШ с модемным подключением


Рекомендуемый порядок подключения КШ
к коммутируемой линии
Внимание! Сервер удаленного доступа (Remote Access Server — RAS) должен поддерживать аутен-
тификацию стандарта PAP или CHAP. Также этот сервер должен работать в режиме статического вы-
деления IP-адресов RAS-клиентам.
1. Получите у провайдера следующую информацию:
• статически заданный IP-адрес сервера удаленного доступа;
• номера телефонов модемного пула;
• скорость dial-up соединения.
Пояснение. Если сервер удаленного доступа принадлежит корпоративной сети, выясните IP-
адрес сервера, номера телефонов и скорость dial-up соединения у представителя вашей органи-
зации, ответственного за эксплуатацию сервера. IP-адрес RAS-клиента для КШ назначьте само-
стоятельно, учитывая, что внутри корпоративной сети все IP-адреса должны быть уникальны.
2. В программе управления зарегистрируйте КШ с модемным подключением и
запишите конфигурацию на носитель (см. [1]). При регистрации указывайте
следующие значения для перечисленных ниже параметров:

Скорость передачи данных Скорость, указанная в профиле NVRAM модема (см.


через COM-порт для внешнего документацию на модем, обычно используют
интерфейса 115200 бит/сек.)

Номера телефонов Номера телефонов модемного пула, полученные у


провайдера (см. п. 1)

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 147
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

IP-адреса внутренних IP-адреса подключаемых локальных сетей


интерфейсов

Пояснение. Настройка самого модема выполняется в соответствии с эксплуатационной


документацией, входящей в комплект поставки данного модема.
3. Добавьте для ЦУС маршрут к пулу выделяемых RAS-сервером адресов через
адрес RAS-сервера, чтобы подключаемый КШ был доступен для ЦУС (см. стр.
72).
4. Подключите КШ к сетевым коммуникациям и выполните его инициализацию
(см. [2]).

Изменение типа телефонной линии при модемном подключении


Модемное подключение криптографического шлюза возможно к телефонным ли-
ниям двух типов:
• выделенные телефонные линии;
• коммутируемые телефонные линии.
При изменении типа линии необходимо выполнить повторную инициализацию
данного криптографического шлюза.
При использовании выделенной линии необходимо выполнить настройку мо-
дема заранее, до подключения его к КШ.

Для смены типа телефонной линии:


1. В программе управления вызовите окно настройки параметров нужного КШ
(см. стр. 49).
2. Выведите КШ из эксплуатации. Для этого на вкладке "Общие сведения" уда-
лите отметку из поля "Введен в эксплуатацию". При этом осуществится раз-
рыв управляющего соединения ЦУС с КШ.
3. Зарегистрируйте новый PPP-интерфейс (см. стр. 57).
4. Сохраните конфигурацию данного КШ на носитель (см. [1]).
5. Подключите модем к выбранной телефонной линии (см. документацию на ис-
пользуемый модем).
6. Выполните инициализацию данного КШ, используя носитель с сохраненной
конфигурацией (см. [2]).
7. Введите КШ в эксплуатацию. Для этого в программе управления в окне
свойств криптошлюза на вкладке "Общие сведения" установите отметку в по-
ле "Введен в эксплуатацию". По этой команде ЦУС установит управляющее
соединение с КШ на новом ключе, а также обновит все ключи парной связи
данного КШ.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 148
© КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ"

Документация
1. Аппаратно- программный комплекс шифрования "Континент". Версия 3.9.
Руководство администратора. Принципы функционирования комплекса.
2. Аппаратно- программный комплекс шифрования "Континент". Версия 3.9.
Руководство администратора. Ввод в эксплуатацию.
3. Аппаратно- программный комплекс шифрования "Континент". Версия 3.9.
Руководство администратора. Межсетевое экранирование.
4. Аппаратно- программный комплекс шифрования "Континент". Версия 3.9.
Руководство администратора. Настройка VPN.
5. Аппаратно- программный комплекс шифрования "Континент". Версия 3.9.
Руководство администратора. Аудит.
6. Аппаратно- программный комплекс шифрования "Континент". Версия 3.9.
Руководство администратора. Сервер доступа.
7. Аппаратно- программный комплекс шифрования "Континент". Версия 3.9.
Руководство администратора. Автоматизированное рабочее место генерации
ключей.

АПКШ "Континент". Версия 3.9


Руководство администратора. Управление комплексом 149