подібна схема адаптируема до будь-якій архітектурі і будь ОС, якщо вона підтримує маршрутизацію між інтерфейсами.
Одному з інтерфейсів шифратора може бути призначений IP-адресу тієї локальної мережі, де він буде встановлений. Другому - IP-адреса віртуальної мережі класу C. Для простоти перших інтерфейс назвемо «внутрішнім», а другий - «зовнішнім». Відкритий трафік надходить на внутрішній інтерфейс, а з зовнішнього відправляється вже зашифрований трафік, причому він може бути инкапсулирован таким чином, що IP-адресою відправника пакета був IP-адреса зовнішнього інтерфейсу шифратора, а IP-адресою одержувача - IP-адреса зовнішнього інтерфейсу шифратора того офісу компанії, для якого призначався початковий відкритий пакет. Сам шифратор може і не займатися ніяким аналізом проходить через нього трафіку, т. Е. Бути, як уже говорилося, наскрізним.
. 4.2 Організація шифруемого з'єднання
Для пояснення схеми розглянемо приклад роботи по захищеному з'єднанню між центральним офісом і однією з віддалених майданчиків. Трафік з локальної мережі центрального офісу через комутатор надходить на маршрутизатор. На маршрутизаторі задані правила умовної маршрутизації (policy routing), згідно з якими трафік, що призначався для віддаленого офісу компанії, направляється не в середу СПД ОП, а на внутрішній інтерфейс встановленого в локальній мережі шифратора. Наочно схема включення шифратора в мережу представлена ??на Малюнку. Маршрутизировать трафік - справа маршрутизатора, так що покладати функції аналізу трафіку на шифрующие пристрою не варто. Шифратор «знає» тільки ключі шифрування для конкретних адрес одержувачів.
З зовнішнього інтерфейсу шифратора інкапсульований захищений трафік направляється знову-таки на маршрутизатор, на інтерфейсі Ethernet якого задано дві IP-адреси: один - відповідає локальній мережі центрального офісу; другий - належить віртуальної мережі шифратора і служить для нього шлюзом за замовчуванням. Далі зашифрований пакет знову звіряється зі списками доступу маршрутизатора, де описуються правила динамічної маршрутизації EIGRP, і, згідно з ними, направляється в той або інший підрозділ компанії. Маршрутизатор віддаленого офісу має схожу конфігурацію, але не зберігає складні списки доступу c описом маршрутизації EIGRP, а всі пакети, у тому числі що призначалися для інших віддалених майданчиків, пересилаються в центральну мережу. На інтерфейсі Ethernet маршрутизатора віддаленого офісу також задано дві IP-адреси: один належав локальної мережі філії, а другий - віртуальної мережі встановленого там шифратора і був для шифратора шлюзом за замовчуванням.
Зовнішньому інтерфейсу шифратора центрального офісу, наприклад, може бути призначений IP-адреса 192.168.0.2, внутрішньому - 10.0.0.253. Всі машини в локальній мережі центрального офісу мають адреса з мережі 10.0.0.0/24. Для інтерфейсу Ethernet на маршрутизаторі центрального офісу можуть бути визначені адреси 10.0.0.1 і 192.168.0.1. На шифраторі в якості шлюзу за замовчуванням задано адресу 192.168.0.1. На всіх робочих станціях центрального офісу в якості адреси шлюзу вказана адреса 10.0.0.1.
Зовнішньому інтерфейсу маршрутизатора віддаленого офісу може соответствать IP-адреса 192.168.1.2, а внутрішньому - 10.0.1.253; всі машини локальної мережі віддаленого офісу можуть мати адреси з мережі 10.0.1.0/24. Інтерфейсу Ethernet на маршрутизаторі призначені адреси 10.0.1.1 і 192.168.1.1. На шифраторі в якості шлюзу за замовчуванням вказана адреса 192.168.1.1. На всіх робочих станціях локальної мережі віддаленого офісу в якості шлюзу за замовчуванням був задано адресу 10.0.1.1. У дужках зазначу, що наведені адреси не існують реально і використовуються тільки для ілюстрації схеми.
Припустимо, клієнт з видаленої мережі хоче встановити захищене з'єднання з сервером з центрального офісу по протоколу telnet . Його робоча станція має IP-адреса 10.0.1.22, а сервер центрального офісу - 10.0.0.44. Таким чином, трафік від віддаленого клієнта має адресу відправника 10.0.1.22 та адресу одержувача 10.0.0.44, порт 23 ( telnet ). Оскільки шлюзу за умовчанням в віддаленому офісі присвоєно адресу 10.0.1.1, то всі пакети надходять на маршрутизатор. На ньому налаштовані списки доступу, де описуються правила умовної маршрутизації: зокрема, пакети, які призначаються сервісу telnet (TCP-порт 23), повинні маршрутизироваться не безпосередньо в центральний офіс, а на внутрішній інтерфейс шифратора.
Пакет від маршрутизатора потрапляє на вказаний інтерфейс, потім виробляється шифрування і інкапсуляція пакета. У результаті з зовнішнього інтерфейсу шифратора віддаленого офісу відсилається пакет з адресою відправника 192.168.1.2 (зовнішній інтерфейс шифратора віддаленого офісу), адресою одержувач...
