Академический Документы
Профессиональный Документы
Культура Документы
Объекты:
- «интернет» - в виде роутера ISP, обеспечивает связность объектов MO, F1 и F2 по
«публичным» адресам.
- MO - главный офис с роутером R-MO, тремя сервисами Svc1, Svc2, Svc3.
Каждый сервис находятся в индивидуальной сети и изолированы друг от друга на уровне сети.
Svc1 в сети NetSvc_1 и доступен по tcp/443
Svc2 в сети NetSvc_2 и доступен по tcp/8443
Svc3 в сети NetSvc_3 и доступен по tcp/7272
- F1, F2 - два филиала, с роутерами R1 и R2, на которых находятся клиенты.
От каждого филиала в главный офис построен L2 транспорт.
Между каждым филиалом и главным офисом организовать основной (через L2) и резервный
(через «интернет») канал связи. Все каналы связи между объектами должны быть защищены с
помощью IPSec: IKEv2, только ESP (Encapsulating Security Payload), без AH (Authentication Header), в
туннельном режиме, алгоритмы могут быть выбраны любые (в зависимости от возможностей
эмулятора/стенда), аутентификация по PSK (pre-shared key).
Для L2 каналов IPSec туннель построить на CryptoMap, «интернет» каналы - для F1 через CryptoMap,
для F2 на VTI.
Переключение между основным и резервным каналом реализовать с помощью IP SLA + Track.
Клиентам на филиалах должны быть доступны все три сервиса, при условии что:
- Сервисы должны быть доступны по адресам из сети NetSvc_3, как будто все они находятся в
одной сети на стороне MO.
- Svc2 должен быть доступен по 443 порту, остальные по исходным портам.
- Все трансляции должны происходить на стороне MO.
Разрешен должен быть только необходимый (явно описанный выше) для работы схемы трафик,
остальной должен быть в явном виде заблокирован.