1 Кроме случаев поставки ПК «С-Терра Шлюз», предустановленного на СПДС-USB-01. Zelax-ST MM-1017. Copyright © S-Terra CSP 2003 -2016.


Чтобы посмотреть этот PDF файл с форматированием и разметкой, скачайте его и откройте на своем компьютере.
ОО «С
Терра СиЭсПи»
124498, г. Москва, Зеленоград, Георгиевский проспект,
дом 5, помещение I, комната 33
Телефон/Факс: +7 (499) 940 9061
Эл.почта:
information
terra
Сайт:
http
���
terra
Криптомаршрутизатор
Zelax
Техническое описание
2016
г.
Zelax
ST MM
1017
Cop
yright © S
Terra CSP 2003
2016
Оглавление
Введение
Общие св
едения об устройстве Криптомаршрутизатора
Структура изделия
3.1
Модуль коммутации
3.2
Криптомодуль
3.3
Порт
3.4
Слот
3.5
Центральный процессор
3.6
6.2.10
Порт
USB
криптомодуля
6.2.11
Порт
VGA
криптомодуля
6.3
Внешн
ий вид
6.3.1
Передняя панель
6.3.2
Индикаторы, расположенные на передней панели
6.3.3
Задняя панель
Установка и подключение Криптомаршрутизатора
7.1
Установка
7.2
Подключение
7.3
Начальная
загрузка криптомодуля
Управление
8.1
Управление модулем коммутации
8.1.1
Способы управления
1.1.1
Управление через порт
Console
8.1.1.2
Настройка модуля коммутации для управления
8.1.1.3
Управление по протоколам
Te
8.2.2.1
Контекстная справка
8.2.2.2
Сообщения об ошибках
Сохранение и загрузка конфигурации
9.1
Сохранение и загрузка конфигурации
модуля коммутации
9.1.1
Сохранение конфигурации
Zelax
ST MM
1017
Cop
yright
Terra CSP 2003
2016
9.1.2
Сохранение конфигурации на сервере
9.1.3
Загрузка конфигурации с сервера
9.2
Сохранение и загрузка конфигурации криптомодуля
9.2.1
Сохранение конфигурации
9.2.2
Сохранение конфигурации на Сервере управления
9.2.3
Загрузка конфигурации
9.2.4
Загрузка конфигурации с Сервера управления
Восстановление заводских настроек
10.1
Восстановление заводских настроек модуля коммутации
10.1.1
Восстановление заводской конфигурации с использованием командной строки
10.1.2
Сброс пароля с использованием загрузчика
10.2
Восстановление заводских настроек криптомодуля
10.2.1
Восстановление заводской конфигурации
Загрузка новой версии программного обеспечения
11.1
Загрузка
новой версии программного обеспечения в модуль коммутации
11.1.1
Обновление модуля коммутации с использованием командной строки
11.1.2
Обновление модуля коммутации с использованием загрузчика
Рекомендации по устранению неисправностей
Гар
антии изготовителя
Приложения
14.1
Приложение 1. Назначение контактов портов E
Zelax
ST MM
1017
Cop
yright © S
Terra CSP 2003
2016
Введение
Криптомаршрутизатор Zelax
ST MM
1017
(далее
Криптомаршрутизатор
это
российский
криптомаршрутизатор, который сочетает в себе высокую производительность и
шифрование в соответствии с ГОСТ 28147
Шифрование и сетевую безопасность
обеспечивает встроенный
СКЗИ
«Программный комплекс С
Терра Шлюз. Версия 4.1»
(сертификаты ФСБ России по классам КС1, КС2, КС3, МЭ4
, сертификат ФСТЭК России по
классу МЭ
Криптомаршрутизатор
позволяет строить высокопроизводительные надёжные сети
передачи данных различного назначения и гарантирует защиту информац
ии в соответствии с
требованиями ФСБ России и ФСТЭК России при передаче её по недоверенным каналам связи.
Варианты применения оборудования представлены на
Рис.
и
Рис.
Рис.
Организация защищённой территориально
распределенной сети
Рис.
Организация доверенного подключения через публичную сеть
Zelax
ST MM
1017
Cop
yright
Terra CSP 2003
2016
Общие сведения об устройстве
риптомаршрутизатора
Криптомаршру
тизатор состоит из
двух независимых модулей, расположенных в общем
корпусе:
модуля коммутации и криптомодуля
Модуль коммутации представляет собой плату, реализующую функции коммутатора
электропитание
управление
управление
криптомодуль
модуль коммутации
электропитание
блок
питания
блок
питания
Рис.
Внутреннее у
стройство
риптомаршрутизатора
Zelax
ST MM
1017
Cop
yright © S
Terra CSP 2003
2016
Структура изделия
Криптомаршрутизатор состоит из модуля коммутации и криптомодуля.
3.1
одуль
коммутации
SFP
Console
10
2
Managment
Рис.
Структурная схема
модуля коммутации
Модуль ко
ммутации
содержит:
процессор;
порт
Alarm;
порт
USB;
коммутатор Ethernet 2
го уровня;
20 портов
Zelax
ST MM
1017
Cop
yright
Terra CSP 2003
2016
порты Е
порт
порты
порт
накопитель
Рис.
Структурная схема
криптомодуля
Криптомодуль
содержит:
пр
оцессор;
загрузочный Flash
накопитель
SSD
диск или СЗН «СПДС
USB
01»)
четыре порта
USB;
четыре
порта
Ethernet 10/100/1000Base
T;
порт VGA для подключения монитора
порт KEY
для подключения внешнего считывателя идентификатора
управляющий порт
COM
3.3
Порт
Порт представляет собой соединитель (разъём), к которому с помощью кабеля
подключается то или иное устройство или линия связи
Рис.
). Порт реализует определённый
интерфейс.
3.4
Слот
Слот
разъём для установк
и
модуля
SFP
SFP
3.5
Центральный процессор
Центральный процессор
компонент, размещённый в базовом модуле и
предназначенный для обработки данных, поступающих на его интерфейсы.
3.6
Ethernet
коммутатор
Zelax
ST MM
1017
Cop
yright © S
Terra CSP 2003
2016
Комплект поставки
В комплект поставки
птомаршрутизатора
входят:
изделие выбранного исполнения;
консольный кабель
переходник А
006;
патч
корд
Кр
оме случаев поставки ПК «С
Терра Шлюз», предустановленного на СПДС
USB
Zelax
ST MM
1017
Cop
yright
Terra CSP 2003
2016
Модификации
Табл.
. Модификации
устройств
Модификация
Криптомаршрутизатора
Производительность
шифрования (
IMIX
трафик), Мбит/с
Производительность
шифрования (
TCP
трафик), Мбит/с
Класс
защиты
Дополнительн
ые
лем
нты
обеспечения
класса защиты
1017
1000M
КС1
до
340
КС1
1017
1000M
KC2
до
340
КС2
СЗН «СПДС
USB
1017
1000M
KC3
до
340
КС3
ПАК «Соболь»
1017
3000
KC1
до 600
КС1
1017
3000
KC2
до 600
КС2
СЗН «СПДС
USB
1017
3000
KC3
до 600
КС3
ПАК «Соболь»
Криптомаршрутизаторы
по умолчанию не оснащаются блоками питания. Блоки
питания
приобретаются отдельно
Табл.
. Дополнительно приобретаемые лицензии
Наименование
Тип лицензии
3000
UPD
КС1
Лицензия для активации на
риптомаршрутизатор
е версий
1017
1000М
КС1
режима
риптомаршрутизатора
1017
3000
КС1
3000
UPD
КС2
Лицензия для активации на
риптомаршрутизатор
е версий
1017
1000М
КС2
режима
риптомар
шрутизатора
1017
3000
КС2
3000
UPD
КС3
Лицензия для активации на
риптомаршрутизатор
е версий
1017
1000М
КС3
режима
риптомаршрутизатора
1017
3000
КС3
Zelax
ST MM
1017
Cop
yright © S
Terra CSP 2003
2016
Технические данные
6.1
Технические характеристики
6.1.1
Функциональные возможности
Интерфейсы:
10Base
(IEEE 802.3);
100Base
TX
(IEEE 802.3u)
1000Base
X (IEEE 802.3z)
1000Base
T (IEEE 802.3ab);
10GBase (IEEE 802.3ae)
Протоколы 2
го уров
ня:
802.1d (STP), 802.1w (RSTP);
802.1s (MSTP);
MRPP;
Root Guard;
BPDU Forwarding;
BPDU Guard;
LLDP, LLDP
MED;
UDLD;
Loopback Detection;
IGMP Snooping v1, v2, v3;
IGMP Snooping Fast Leave;
Multicast VLAN Registration (MVR);
MLD Snooping v1, v2;
DHCP Snoopi
ng;
DHCP relay;
DHCP опции 37, 38, 82;
промежуточный агент PPPoE;
802.3ad (LACP) агрегация портов: до 128 групп, до 8 портов в группе;
управление потоком: 802.3x, backpressure;
предотвращение блокировки (HOL).
VLAN:
802.1Q;
802.1Q
Q: на основе портов, S
elective, Flexible;
GARP, GVRP;
количество поддерживаемых VLAN: 4095;
VLAN на основе портов;
VLAN на основе протокола (по содержимому поля EtherType);
VLAN Translation;
MAC VLAN;
Voice VLAN;
Private VLAN.
Маршрутизация:
количество поддерживаемых L3 интерфе
йсов: 1024;
таблица маршрутизации: 13312 записей;
IPv4 и IPv6;
Black hole route;
RIP v1/v2;
OSPF v2/v3;
BGP4/BGP4+;
VRRP/VRRPv3;
ISATAP tunnel, GRE tunnel;
BFD;
статическая маршрутизация;
PBR.
Zelax
ST MM
1017
Cop
yright
Terra CSP 2003
2016
IPv6:
IPv6 списки доступа;
QoS на основе IPv6;
IPv6 MVR;
IPv6 M
LD snooping;
IPv6 ND snooping;
IPv6 Stateless Auto Configuration;
IPv6 ICMP;
IPv6 ND;
IPv6 Multicast Address Types.
Многоадресная рассылка:
статические маршруты;
PIM
DM, PIM
SM, PIM
SSM, MSDP.
Качество обслуживания (QoS):
классификация трафика на основе: н
омера порта, MAC
адреса источника и назначения,
VLAN ID, 802.1p, IPv4
адреса источника и назначения, IPv6
адреса источника и
назначения, номера порта TCP/UDP, типа протокола, DiffServ (ToS, IP precedence),
временного диапазона;
ограничения полосы пропускан
ия с шагом 1 кбит/с;
количество очередей на каждом порту: 8;
типы
очередей
: Strict Priority, WRR, SWRR, DWRR, SDWRR, WRED;
полисинг трафика.
Сетевые службы и протоколы:
NAT/NAT
T;
PAT;
сервер, DHCP
клиент;
межсетевой экран.
Аутентификация:
ГОСТ Р 34.1
2012;
AAA (RADIUS/TACACS+);
списки контроля доступа (ACL);
поддержка токенов: Aladdin, Актив, MultiSoft.
Криптографические библиотеки:
ST
встроенная, компании «С
Терра СиЭсПи»;
СР
внешняя, компании «КРИПТО
ПРО».
Криптографические алгоритмы:
классы за
щищённости: КС1, КС2, КС3 (КС2, КС3
при использовании АПМДЗ);
шифрование: ГОСТ 28147
89, DES
CBC (IV32), 3DES
K168
CBC, IDEA
CBC, AES
K128
CBC, AES
K192
CBC, AES
K256
CBC, NULL;
ЭП: DSA, RSA, ГОСТ Р 34.10
2001, ГОСТ Р 34.10
2012;
контроль целостности: MD
5, SHA1, ГОСТ Р 34.11
94, ГОСТ Р 34.11
2012;
совместимость с PKI и LDAP службами зарубежных и российских производителей;
комбинированное преобразование ESP_GOST
IMIT.
VPN:
IP/IP туннели;
IP/GRE туннели;
DMVPN;
количество IP
ec туннелей: в зависимости о
т типа лицензии.
Управление и контроль работы:
Терра КП 4.1;
командная строка (CLI), два уровня доступа: мониторинг, управление;
Zelax
ST MM
1017
Cop
yright © S
Terra CSP 2003
2016
BootP/DHCP
клиент;
SNMP v1, v2c, v3;
SNMP Trap;
Dying GASP;
ON v1, v2, v3, v9;
локальный журнал событий;
Syslog;
sFlow;
TFTP/FTP
клиент;
TFTP/FTP
сервер;
сервер;
Модификация
ощность
, Вт
Напряжение
электропитания
ZES
PSM
220
150
~100..240В, 50..60 Гц
ZES
PSM
150W
=36…72
Криптомаршрутизатор
поддержива
«горячую» замену блоков питания.
6.1.3
Условия эксплуатации
Условия эксплуатации изделий:
темпе
ратура окружающей среды
от
до 50 С;
относительная влажность воздуха
от 5 до 9
5 % без конденсата;
режим работы
круглосуточный;
наработка на отказ
0000 часов.
Криптомаршрутизатор
должен быть подключен к системе электропитания с заземлением.
6.2
Порты изделия
6.2.1
Порт Ethernet
модуля коммутации
физический
интерфейс
: 10Base
T/100Base
TX/1
000Base
T;
режимы обмена: полудуплексный или дуплексный;
автоматическое согласование параметров (AutoNegotiation) 802.3/802.3u;
авто MDI/MDI
тип разъема: розетка RJ
45 (назн
ачение контактов указано в
пункте
6.2.2
слот
модуля коммутации
SFP
слот предназначен для установки
SFP
SFP
модулей.
SFP
слот соответствует спецификации: SFF
8074i;
скорость передачи:
1/10 Гбит/
Допускается “горячая” замена модуля (hot
swap).
Zelax
ST MM
1017
Cop
yright
Terra CSP 2003
2016
6.2.3
Порт
Console
модуля коммутации
Порт Con
sole шлюза выполняет функции устройства типа
DCE
и имеет цифровой
интерфейс RS
(разъем
скорость асинхронного обмена
115200 бит/с
количество битов данных
контроль по четности или нечетности отсутствует;
количество стоп
битов
управле
ние потоком данных отсутствует.
6.2.4
Порт
MGMT
модуля коммутации
Порт
предназначен для внеполосного управления м
одулем коммутации
по протоколам
Порт предназначен для подключения к криптомодул
ю внешнего считывателя
идентификатора
тип
разъема:
6.2.10
Порт
криптомодуля
Порт предназначен для подключения внешних устройств к криптомодулю.
тип разъема: USB тип A.
6.2.11
Порт
VGA
криптомодуля
Порт предназначен для подключения монитора к крип
томодулю.
тип разъема: DE15F.
Zelax
ST MM
1017
Cop
yright © S
Terra CSP 2003
2016
6.3
Внешний вид
6.3.1
Передняя панель
На передней панели расположены следующие элементы:
светодиодные индикаторы
разъем
портов
Ethernet;
разъемы
SFP
слотов
разъемы
SFP
слотов
разъем порта
onsole;
разъем
USB;
разъем
порта
Alarm
утопленная кнопка
Mode
разъем
COM1;
утопленная кнопка
RST.
Рис.
Вид передней панели MM
6.3.2
Индикаторы, расположенные на передней панели
На передней панели
изделия
расположены след
ующие индикаторы: PWR, PWR1, PWR2,
STATE, LNK/ACT, MODE, FAN.
Табл.
. Описание индикаторов передней панели
ZES
32xx
Индик
атор
Состояние
Описание
LNK/ACT
Мигает
Линия исправна, идёт приём/передача данных
Светится
Линия исправна, данные не передаются
Не светится
Порт выключен
PWR
/PWR2
Светится
Напряжение питания подано
Не светится
Напряжение питания отсутствует
PWR
Светится
Напряжение питания подано на криптомодуль
Не светится
Напряжение питания отсутствует подано на
криптомодуле
協䅔E
Мигает
Инициализация модуля коммутации
Светится
Модуль коммутации работает но
мально.
MODE
Мигает
Включен режим отображения
состояния
偯E
на
светодиодах
LNK/ACT
портов
модуля
коммутации. В данной модификации PoE не
поддерживается.
G_�k\_lblky
Hldexq_g�j_`bf�hlh[jZ`_gby�khklhygby�
PoE
gZ�
k\_lh^bh^Zo��/�1�.��$�&�7�ihjlh\�fh^mey�
dhffmlZpbb���^Zgghc�fh^bnbdZpbb��3�R�(�g_�
ih^^_j`b\Z_lky�
6.3.3
Задняя панель
задней
панели расположены следующие элементы:
два слота для установки сменных блоков питания;
порт
VGA;
четыре разъёма USB
клемма заземления
Рис.
Вид задней панели MM
1017 с установленным блоком питания
Zelax
ST MM
1017
Cop
yright
Terra CSP 2003
2016
Установка и подключение
иптомаршрутизатор
Установка
Криптомаршрутизатора
должна производиться в сухом отапливаемом
помещении. Перед установкой необходимо произвести внешний осмотр
Кр
иптомаршрутизатора
целью выявления механических повреждений корпуса и соединительных элементов.
Перед подключением
Криптомаршрутизатора
следует внимательно изучить настоящее
руководство.
Если
Криптомаршрутизатор
хранил
при тем
пературе ниже 0
C, перед первым
включением его необходимо выдержать при комнатной температуре не менее двух часов.
7.1
Установка
Установите
риптомаршрутизатор
в 19
дюймовую стойку или
на
ровную поверхность
(например, стол).
Следует иметь в виду, что:
каждое
устройство в стойке при работе выделяет тепло, поэтому ус
ройства не должны
размещаться в стойке вплотную;
детали стойки или расположенных в ней устройств не должны закрывать
вентиляц
онные отверстия
иптомаршрутизатора
7.2
Подключение
Последовательность по
дключения:
установите сменный блок питания, предварительно сняв защитную планку на задней
панели
риптомаршрутизатора
азъём IEC C13
кабеля питания (входящего в комплект поставки)
вставьте в разъём на
блоке питания
риптомаршрутизатора
ставьте вилку
на другом конце кабеля питания
в розетку эле
тросети
бедитесь в том, что
на передней панели
риптомаршрутизатора
светится
индикатор
PWR
а также индикаторы
PWR
PWR
в соответствии с используемыми блоками
питания
осле подачи питания
риптомаршрутизатор
выполняет процедуру самотестирования и
начальной загрузки.
7.3
Начальная
загрузка криптомодуля
Проц
есс начально
й загрузки криптомодуля
для разных классов защиты
описан
документе
«Инициализация S
Terra
Gate
вычислительных системах архитектуры
Intel
/x86
, а именн
ля класса
защиты КС1
раздел
«Подготовка ПАК исполнения класса защиты КС1 к
инициализации
для класса защиты КС2
с S
Terra Gate на СЗН
«СПДС
USB
01»
раздел «Подготовка
ПАК исполнения класса защиты
КС1,
КС2 с
СЗН «СПДС
USB
01»
к инициализации»;
для класса
защиты КС
раздел «Подготовка ПАК исполнения класса защиты КС
инициализации»
Zelax
ST MM
1017
Cop
yright © S
Terra CSP 2003
2016
Упр
авление
Управление модулем коммутации и криптомодулем
осуществляется
независимо.
8.1
Управление модулем коммутации
8.1.1
Способы управления
Настройка параметров и управление
модулем коммутации
осуществляется:
через порт
Console
при подключении к нему внеш
него терминала, в качестве которого
может использоваться персональный компьютер;
через любой порт
Внимание!
Для подключения через по
рт

(см. п.
8.1.1.2
) и присвоить ему
адрес.
8.1.1.1
Управление через порт
Console
Управление
модулем коммутации
осуществляется через порт Console, к которому
подключается ус
тройство типа DTE, выполняющее функцию терминала (далее для краткости это
устройство именуется терминалом). Подключение терминала к порту
Console
изделия
производится с помощью
консольного
кабеля
, поставляемого в комплекте с
риптомаршрутизатором
орт терминала должен быть настроен следующим образом:
асинхронная скорость передачи данных должна быть равна
115200 бит/с
число битов данных
контроль по четности или нечётности отсутствует;
число стоп
битов
управление потоком данных отсутствует.
8.1.1.2
Настройка
модуля коммутации
для управления
Присвоение
адреса интерфейсу
VLAN
if
vlan1)#ip address 172.25.1.201 255.255.255.0
Создание учетной записи пользователя.
Внимание!
После завершения этапов 1 и 2 следует выполнить команду
write
, чтобы сохранить
настройки в энергонезависимую память.
8.1.1.3
Управление по протоколам
Telnet
SSH
Управление
модулем коммутации
посредством протоколов
Zelax
ST MM
1017
Cop
yright
Terra CSP 2003
2016
8.1.1.4
Управление через
eb
интерфейс
Управление
модулем коммутации
посредством Web
интерфейса осуществляется через
порт
Режим
Вход
осуществляется
Вид
командной
строки
Описание
Выход из
режима
выполняется
Пользовательский
нажатием клавиши
“Enter”
Switch
Доступны команды
мониторинга
Привилегированный
ользовательском
режиме
выполнением
команды enable
�6�Z�L�W�F�K
�hklmigu�dhfZg^u�
fhgblhjbg]Z�b�
gZkljhcdb��Z�lZd`_�
j_`bfu�
dhgnb]mjbjh\Zgby
dhfZg^hc��H�[�L�W
Dhgnb]mjbjh\Zgby�
h[s_kbkl_fguo�
iZjZf_ljh\
модуля
коммутации
привилегированном
режиме
выполнением
команды co
nfigure
terminal
�6�Z�L�W�F�K
� �F�R�Q�I�L�J�\f

Доступны команды
настройки
общесистемных
параметров
модуля
коммутации
командой exit
Конфигурирования
интерфейсов
в режиме
конфигурирования
общесистемных
параметров
модуля
коммутации
выполнением
команды interface с
указание
м типа и
номера
интерфейса
�6�Z�L�W�F�K
� �F�R�Q�I�L�J
�L�I�\f�
Доступны команды
настройки
параметров
интерфейсов
командой exit
Настройки пула
адресов
DHCP
в режиме
конфигурирования
общесистемных
параметров
модуля
коммутации
выполнением
команды ip dhcp
pool nam&#x-8.3;&#x nam;&#x-24.; e0;e
�6�Z�L�W�F�K
dhcp
name
config)#
Доступны команды
настройки
параметров пула
dhcp
командой exit
Настройки списков
доступа
в режиме
конфигурирования
общесистемных
параметров
модуля
Switch(config
std
nacl
name)#


Switch(config
Доступны команды
настройки
параметров
стандартного и
командой exit
Zelax
ST MM
1017
Cop
yright © S
Terra CSP 2003
2016
коммутации
выполнением
команды
p access
list {standard |
extended} nam.7 ;&#xnam-;$.4;&#x e00;e
ext
nacl
name)#
расширенного
списков доступа
Настройки
маршрутизации
в режиме
конфигурирования
общесистемных
параметров
модуля
коммутации
выполнени
ем
команды
router
bgp
ipv
6 |
ldp
msdp
ospf
rip
vrrp
�V�Z�L�W�F�K� �F�R�Q�I�L�J
router)#
Доступны команды
настройки
параметров
протоколов
маршрутизации
командой exit
8.1.2.1
Синтаксис команд
Синтаксис команд, вводимых в командной стоке
модуля коммутации
команда
<пе
ременная> {
параметр
| … | параметр } [
параметр
где:
Команда
строго заданная последовательность символов, определяющая дальнейшие
параметры.
Параметр
ключевое слово, IP
адрес, маска сети, IP
адрес с маской, MAC
адрес, число,
слово, строка.
Команда и
параметры отделяются друг от друга пробелами.
При описании синтаксиса команд используются следующие обозначения:
в фигурных скобках {} указываются обязательные параметры;
в квадратных скобках [] указываются необязательные параметры;
символ “|” обозначает
логическое “или”
выбор между различными параметрами;
ключевые слова выделяются жирным шрифтом.
Для исполнения набранной команды необходимо нажать клавишу “Enter”.
Для получения контекстной справки используется символ “?”.
При нажатии клавиши табуляции “
Tab” происходит автоматическое доопределение
сокращенных названий команд и некоторых типов параметров до их полного вида, или, в случае,
когда несколько команд начинаются с одинаковых символов, до их общей части.
Последние десять
веденных команд хранятся
в буфере. Чтобы воспользоваться ранее
введенной командой, необходимо нажать клавишу “↑” (вверх) или “↓” (вниз).
8.1.2.2
Контекстная справка
Для получения контекстной справки используется символ “?”. Данная операция доступна
во всех режимах.
При вводе символа “?” в
ыводится список команд, доступных в данном режиме.
Пример. Использование контекстной справки для получения списка команд, доступ
ных в
пользовательском
режиме.
Zelax
ST MM
1017
Cop
yright
Terra CSP 2003
2016
key public ke

cable
test Start virtual cable test
При вводе символа “?” через пробел после команды выводится список параметров
данной команды.
Пример. Использование контекстной справки для получения списка параметров команды
copy
�128 character(lo
filename or
name/remote
filename or
name/remote
filename or
name/remote
filename).

config Copy from current system
configuration
8.1.2.3
Сообщения об ошибках
Табл.
приведены сообщения об ошибках, которые могут выводиться во время работы
с командной строкой.
Табл.
. Сообщения об ошибках, выводимые при работе с командной с
трокой
Сообщение об ошибке
Описание ошибки
Введенная команда не существует, либо имеется
ошибка в области значений параметра, его
формате или типе
�$�P�E�L�J�X�R�X�V��F�R�P�P�D�Q�G
hafh`gh�g_�f_g__�^\mo�bgl_jij_lZpbc�
\\_^_gghc
dhfZg^u
DhfZg^Z�jZkihagZgZ��h^gZdh�g_�gZc^_gh�
ijZ\bevghc�aZibkb�iZjZf_ljZ
�7�K�L�V��F�R�P�P�D�Q�G��L�V��Q�R�W��H�[�L�V�W��L�Q��F�X�U�U�H�Q�W��P�R�G�H��
DhfZg^Z�jZkihagZgZ��h^gZdh�lZdZy�dhfZg^Z�g_�
fh`_l�bkihevah\Zlvky�\�l_dms_f�j_`bf_��
�3�O�H�D�V�H��F�R�Q�I�L�J�X�U�H��S�U�H�F
�X�U�V�R�U��F�R�P�P�D�Q�G���\r���D�W��I�L�U�V�W�
DhfZg^Z�jZkihagZgZ��h^gZdh�ij_^\Zjbl_evgu_�
mkeh\by��g_h[oh^bfu_�^ey�\uiheg_gby�wlhc�
dhfZg^u��_s_�g_�kha^Zgu
�V�\�Q�W�D�[��H�U�U�R�U����P�L�V�V�L�Q�J��\n��\n��E�H�I�R�U�H��W�K�H��H�Q�G��R�I�
command line!
AgZdb�^\hcguo�dZ\uq_d�g_�h[jZamxl�iZjm
8.2
Управление
криптом
одулем
8.2.1
Способы управления
Настройка параметров и управление
криптомодулем
осуществляется:
ерез
консольный
порт
при подключении к нему внешнего терминала, в качестве
которого может использоваться персональный компьютер;
через любой
порт
Zelax
ST MM
1017
Cop
yright © S
Terra CSP 2003
2016
Порт терминала должен быть настроен следующим образом:
асинхронная скорость передачи данных должна быть равна 115200 бит/с;
число битов данных
контроль по
четности или нечётности отсутствует;
число стоп
битов
управление потоком данных отсутствует.
Локально н
астройка криптомодуля выполняется в следующем
порядке:
Выполните инициализацию продукта С
Терра Шлюз на криптомодуле согласно
документу
«Инициализация S
Terra Gate на вычислительных системах архитектуры
Intel x86/x86
и разделу «Инициализация S
Terra Gate при первом старте»
ри использовании
Терра
люз класс
а защиты КС3 выполните
разграничение
прав доступа к ОС и управлению, используя раздел
«Разграничение доступа»
документа
документу
«Инициализация S
Terra Gate на вычислительных системах
архитектуры Intel x86/x86
ыполните настройки интерфейсов,
изменение паролей
и др.
, следуя документу
«Настройка шлюза»
Создайте политику безоп
асности криптомодуля, используя сценарии, размещенные
на сайте
http://www.s
terra.ru/resheniya/application_scenarios_products/
и
http://www.s
terra.ru/resheniya/product_features/
, а также описание команд
в документе
Cisco
like
команды”
, или создание политики безопасности в
виде текстового файла
представленного в докумен
«Создание конфигурационного файла»
При выходе из конфигурационного режима
консоли
произойдет загрузка
конфигурации.
Текстовый конфигу
рационный файл загружается командой lsp_mgr
load
писанной
в документе
«Специализированные утилиты»
8.2.1.2
Удаленно
централизованное управление
Удаленное централизованное управление
криптомодулем осуще
ляется
использованием «Программного продукта С
Терра КП. Версия 4.1».
Терра КП состоит из двух
частей
Сервера управления и Клиента управления, который устанавливается на криптомодуль.
Связь между Клиентом управления и С
вером управления прои
сходит п
о защищенному каналу
IPsec.
Настройка криптомодуля выполняется в следующем порядке:
Выполните локально инициализацию продукта С
Терра Шлюз на криптомодуле
согласно документу
«Инициализация S
Terra Gate на вычислительных системах
архитектуры Intel x86/x86
и разделу «Инициализация S
Terra Gate при первом
старте»
При использовании С
Терра Шлюз класса защиты КС3 выполните разграничение
прав доступа к ОС и управлению, и
спользуя раздел «Разграничение доступа»
документа
документу
«Инициализация S
Terra Gate на вычислительных системах
архитектуры Intel x86/x86
ыполните настройки ин
терфейсов,
изменение паролей
и др.
, следуя документу
«Настройка шлюза»
Создайте доверенный защищенный канал для управления, описанный в разделе
«Построение VPN туннеля между шлюзом S
Terra Gate 4.1 и раб
очим местом
администратора для удаленной настройки шлюза» документа
«Настройка шлюза»
Создайте политику безопасности криптомодуля, используя сценарии, размещенные
на сайте
http://www.s
terra.ru/resheniya/application_scenarios_products/
и
http://www.s
terra.ru/resheniya/product_features/
., а также описание кома
нд
в документе
Cisco
like
команды”
, или создание политики безопасности в виде текстового файла
представленного в документе
«Создание конфигурационного файла»
«Специализированные утилиты»
При выходе из конфигурационного режима произойдет загрузка конфигурации.
8.2.1.3
Управление по протокол
SSH
Управление
криптомодулем
посредством протокол
SSH
осуществляется через порт
SSH
могут использоваться программы
Putty
Hyper
Terminal
, входящие в операционную систему
Windows
или
руги
Удаленное управление
должно выполняться по
доверенному
защищенному каналу IPsec
, для пост
оения ко
торого
используется продукт С
Терра Клиент
устанавливаемый
на рабочем месте администратора
Настройк
криптомодуля выполняется
в следующем порядке:
Zelax
ST MM
1017
Cop
yright
Terra CSP 2003
2016
Выполните локально инициализацию
продукта С
Терра Шлюз на
криптомодул
согласно документу
Инициализация S
Terra Gate на вычислительных системах
архитектуры Intel x86
/x86
и разделу
«Инициализация S
Terra Gate при первом
старте»
При использовании С
Терра Шлюз класса защ
иты КС3 выполните разграничение
прав доступа к ОС и управлению, используя раздел «Разграничение доступа»
документа
документу
«Инициализация S
Terra Gate на вычислительны
х системах
архитектуры Intel x86/x86
ыполните настройки интерфейсов,
измен
ение
парол
и др.
, следуя документу
«Настройка шлюза»
Создайте
доверенный
защищенный канал для управления, описанный в ра
зделе
Построение VPN туннеля между шлюзом S
Terra Gate 4.1 и рабочим местом
администратора для удаленной настройки шлюза» документа
«Настройка шлюза»
Создайте политику безопасности криптомодуля,
использ
уя сценарии, размещенные
на сайте
http://www.s
terra.ru/resheniya/application_scenarios_products/
и
http://ww
w.s
terra.ru/resheniya/product_features/
а также
описани
команд
в документе
Cisco
like
команды”
или создание политики
безопасности
в виде текстового файла
представленного в документе
«Создание конфигурационного файла»
«Специализированные утилиты»
ри выходе из конфигурационного режима прои
зойдет загрузка конфигурации.
8.2.2
Ин
терфейс пользователя и режимы работы
Интерфейс пользователя
при управлении через порт
COM
1 и
SSH
основан на
использовании командной строки (CLI
Command Line Interface).
Для разграничения прав доступа к командам управле
ния существуют два режима:
пользовательский режим, при котором разрешён доступ к командам мониторинга.
В этом режиме нельзя изменять
настройки шлюза
привилегированный режим, при котором разрешён доступ к командам
настройки
терминала,
системным командам, управления соединениями,
работы с конфигурацией,
за
ния политики безопасности
шлюза
Табл.
приведены основные режимы управления, команды входа и
выхода из них и
состояние командной строки.
Табл.
. Режимы управления
Режим
Вход
осуществляется
Вид
командной
строки
Описание
Выход из
режима
выполняется
Пользовательский
console
sterragate
Доступ
ны команды
мониторинга
Привилегированный
пользовательском
режиме
выполнением
команды enable
и
паролем по
умолчанию
csp”
sterragate
Доступны команды
мониторинга и
настройки, а также
режимы
конфигурирования
командой exit
Конфигурировани
общ
есистемных
параметров
привилегированном
режиме
выполнением
команды configure
terminal
�V�W�H�U�U�D�J�D�W�H
�F�R�Q�I
ig)#
Доступны команды
настройки
политики
безопасности
командой e
Конфигурирования
интерфейсов
в режиме
конфигуриро
вания
общесистемных
параметров
выполнением
команды interface с
указанием типа и
sterragate
(conf
if)#
Доступны команды
настройки
параметров
интерфейсов
командой exit
Zelax
ST MM
1017
Cop
yright © S
Terra CSP 2003
2016
номера
интерфейса
Настройки списков
доступа
в режиме
конфигурирования
выполнением
команды
p access
list
{standard |
extended} nam.7 ;&#xnam-;$.4;&#x e00;e
�V�W�H�U�U�D�J�D�W�H
� �F�R�Q�I�L�J
std
nacl
)#
или
Switch(config
ext
nacl
Доступны команды
настройки
параметров
стандартного и
расширенного
списков доступа
dhfZg^hc��H�[�L�W
GZkljhcdb��,
SAKMP
iheblbdb
в режиме
конфигуриров
ания
выполнением
команды
crypto
isakmp policy
t敲r慧慴攠
(config
isakmp)#
Доступны команды
настройки
для
защиты обменов
первой фазы
IKE
командой exit
Настройки IPsec
политики
в режиме
конфигурирования
выполнением
команды
crypto
map
terragate
� �F�R�Q�I�L�J
cryp
map)#
Доступны команды
настройки
для
защиты обменов
второй фазы
IKE
dhfZg^hc��H�[�L�W
GZkljhcdb��4�R�6
\�j_`bf_�
dhgnb]mjbjh\Zgby�
\uiheg_gb_f�
dhfZg^u�
�F�O�D�V�V��P�D�S
terragate
� �F�R�Q�I�L�J
cmap)#
Доступны команды
классификации и
маркирования
трафика
8.2.2.1
Контекстная справка
Для получения контекстной справки используется символ “?”. Данная операция
доступна
во всех режимах.
При вводе символа “?” выводится список команд, доступных в данном режиме.
8.2.2.2
Сообщения об ошибках
се
ообщения об ошибках, которые могут выводиться во время работы с
командной
строкой
, представлены в документе
с описанием команд «Cisco
like команды».
Zelax
ST MM
1017
Cop
yright
Terra CSP 2003
2016
Сохранение и загрузка конфигурации
9.1
Сохранение и загрузка конфигурации модуля коммутации
Все действи
я, описанные в
этом разделе,
доступны как через интерфейс командной
строки (
CLI
так и через
Web
интерфейс.
9.1.1
Сохранение конфигурации
Во избежание потери рабочей конфигурации, связанной с перезагрузкой или
отключением питания, выполните команду
copy running
config startup
config
или
write
Пример. Сохранение рабочей конфигурации.

config to current startup
config successful
9.1.2
Сохранение конфи
гурации на сервере
Процедура сохранения конфигурации заключается в копировании файла с настройками
из энергонезависимой памяти
модуля коммутации
Flash
память) на сервер. При этом
используется один из протоколов
FTP
File
Transfer
Protocol
) или
TFTP
Trivi
File
Transfer
Protocol
Для сохранения файла с настройками выполните следующие действия:
Включите сервер FTP/TFTP.
Подключите один из портов
модуля коммутации
к сети. Примеры подключения показаны
на
Рис.
Компьютер
коммутации
Рис.
. Примеры подключения
модуля коммутации
для сохранения и загрузки
конфигурации или обновления программного обеспечения
Настройте
модул
коммутации
для управления (см. п.
8.1.1.2
Скопируйте файл с настройками на сервер TFTP, используя команду copy c указанием
следующих параметров:
тип конфигурации:
running
config
рабочая конфигурация или
startup
config
загрузочная конфигурация;
тип сервера, на к
оторый будет производиться сохранение:
tftp
сервер
TFTP
адрес сервера;
имя сохраняемого файла.
Пример. Сохранение рабочей конфигурации в
файл с именем backup
config.
cfg
на сервер
TFTP, имеющий IP
адрес
172.25.1.100
Zelax
ST MM
1017
Cop
yright © S
Terra CSP 2003
2016
config tftp://
config.cfg

9.1.3
Загрузка конфигурации с сервера
Процедура загрузки конфигурации заключается в копировании файла с настройками с
сервера в энергонезависимую память
модуля коммутации
Flash
память). При этом используется
TFTP
Trivial
File
Transfer
Protocol
Для загрузки файла с настройками выполните следующие действия:
Включите на компьютере сервер TFTP.
Подключите один из портов
модуля коммутации
к сети. Примеры подключения показаны
на
Рис.
Настройте
модуль коммутации
для управления (см. п.
8.1.1.2
Скопируйте файл с настройками с сервера FT
P/TFTP, используя команду copy c
указанием следующих параметров:
тип сервера, с которого будет производиться копирование:
ftp
сервер
FTP
или
tftp
сервер
TFTP
файл
, в котор
будут скопированы настройки:
startup
.cfg
загрузочная конфигурация;
адрес
сервера;
имя копируемого файла.
Пример. Загрузка настроек из файла с именем backup
config.
cfg
с сервера TFTP,
имеющего IP
адрес
172.16.1.100
, в загрузочную конфигурацию
модуля коммутации
config.cfg startup.cfg
9.2
Сохранение и загрузка конфигурации криптомодуля
9.2.1
Сохранение конфигурации
При
управлении
с использованием командной строки
о избежание потери рабочей
сisco
like
конфигурации, связанной с перезагрузкой или отключением питани
я, выполните команду
copy running
config
file
Пример. Сохранение рабочей конфигурации
в файл te
, выполняется в
привилегированном режиме cisco
like консоли.
terragate
copy
running
config
file:test1
При
управлении с испол
ьзованием командной строки
рабочую конфигурацию
можно
сохран
ить в виде
LSP
конфигурации в текстовом виде
выполни
команду
lsp
mgr
show
Пример. Сохранение рабочей конфигурации
в файл
var
cspvpn
test
lsp
, выполняется из
bash.

/var/
храненные конфигурации можно хранить на внешнем носителе
или сервере.
Zelax
ST MM
1017
Cop
yright
Terra CSP 2003
2016
9.2.2
Сохране
ние конфигурации на
Сервере управления
При управлении
шлюзом
с использованием «Программного продукта С
Терра КП. Версия
4.1
созданную
конфигураци
можно
сохран
ить
на Сервере управления
в виде целого проекта
во вкладке VPN data maker, используя пред
ложение меню Save as.
9.2.3
Загрузка конфигурации
Процедура загрузки
сохраненной
cisco
like
конфигурации заключается в копировании
файла
на
диск или СЗН «СПДС
USB
01»
и выполнении команд
ы configure replace file.
Пример.
Загрузка
рабочей
cisco
like
конфигурации
из
файл
, выполняется в
привилегированном режиме cisco
like консоли.
terragate#
file:test1
агрузка
сохраненной
LSP
конфигурации за
ключается в копировании файла
на
диск
или СЗН «СПДС
USB
01»
и выполнении
команды
lsp
mgr
load
Пример.
Загрузка
рабочей
LSP
конфигурации
из
файл
/var/cspvpn/test2.lsp
, выполняется
из bash.

f
/var/cspvpn/test
9.2.4
Загрузка
конфигурации
Сервер
управления
Загрузка сохраненной конфигурации на Сервере управления выполняется обычным
штатным образом
, описанным в документе «Программный продукт С
Терра КП. Версия 4.1».
Zelax
ST MM
1017
Cop
yright © S
Terra CSP 2003
2016
Восстановление заводских настроек
10.1
Восстановление заводских настроек модуля коммутации
10.1.1
Восстановление заводской конфигурации с использованием
командной стр
оки
При необходимости возврата
модуля коммутации
к заводским настройкам выполните
последовательность команд
set default,
после чего
команды
write
reload
Пример. Возврат к заводским настройкам.

10.1.2
Сброс пароля
с использованием загрузчика
В случае, когда пароль на доступ в привилегированный режим
модуля коммутации
утрачен, можно в
ыполнить
временный
сброс пароля
до следующей перезаг
рузки
. Для этого
выполните следующие действия:
Во время загрузки
модуля коммутации
нажмите на клавиатуре сочетание клавиш “ctrl+b”
для перехода в режим BootROM и дождитесь появления приглашения [Boot];
Выполните
скрытую
команду nopassword;
Выполните команд
run
Пример. Сброс пароля и загрузка с использованием загрузчика.
flash
img
...
Модуль коммутации
будет загружен и, при переходе в привилегированный режим, пароль
не будет запрашиваться. Пос
ле чего можно изменить пароль с помощью команды
enable
password
10.2
Восстановление заводских настроек криптомодуля
10.2.1
Восстановление заводской конфигурации
При необходимости возврата устройства к заводским настройкам
необходимо выполнить
процедуру восстановлени
, описанную в разделе «Инструкция по восстановлению и обновлению
ПАК с использованием UP_Flash» документа «Инструкции по восстановлению и обновлению
ПАК».
Zelax
ST MM
1017
Cop
yright
Terra CSP 2003
2016
Загрузка новой версии программного обеспечения
Загрузка новой версии
программного обесп
ечения
криптомодуля не предусмотрена, так
как во время сертификации происходит фиксация контрольных сумм программного кода.
11.1
Загрузка новой версии программного обеспечения
в модуль
коммутации
Обновление ПО
модуля коммутации
можно выполнить двумя способами
использованием интерфейса командной строки (
CLI
) либо в режиме загрузчика (BootROM).
Процесс обновления заключается в копировании файлов с сервера во
Flash
память
модуля
коммутации
. При этом используется один из протоколов
FTP
File
Transfer
Protocol
) и
ли
TFTP
Trivial
File
Transfer
Protocol
ПО
состоит из
двух
файл
img
файл образа системы, содержит драйверы аппаратн
ого
обеспечения модуля
коммутации
и ПО текущей версии;
rom
загрузчик системы
модуля коммутации
11.1.1
Обновление
модуля коммутаци
с
использованием
командной
строки
Для загрузки программного обеспечения выполните следующие действия:
Подключите компьютер, содержащий архив программного обеспечения, к
модулю
коммутации
как показано на
Рис.
Включите на компьютере сервер FTP/TFTP.
Настройте
модуль коммутации
для управления (см. п.
8.1.1.2
Выполните загрузку файла
boot
rom
(команда copy)
bytes
Выполните загрузку файла
img
(команда
copy):
Zelax
ST MM
1017
Cop
yright © S
Terra CSP 2003
2016
Выполните перезагр
узку
модуля коммутации
(команда re
load
11.1.2
Обновление
модуля коммутации
с использованием загрузчика
Внимание!
В режиме загрузчика возможно обновление только файла
boot
rom
Для загруз
ки программного обеспечения выполните следующие действия:
Подключите компьютер, содержащий архив программного обеспечения, к
модулю
коммутации
порту
Management
и
Console
Включите на компьютере сервер TFTP.
Во время загрузки
модуля коммутации
нажмите на
клавиатуре сочетание клавиш “ctrl+b”
для перехода в режим BootROM и дождитесь появления приглашения [Boot]
-
Boot 2011.12 (Apr 01 2015

11:04:21)

11:04:19
Введите команду “setconfig”, чтобы задать IP
адрес
модуля коммутации
в режиме
BootR
OM и IP
адрес сервера
Выполните загрузку и запись файла
boot
rom
(команды load и write)
Выполните перезагрузку
модуля коммутаци
(команда re
Zelax
ST MM
1017
Cop
yright
Terra CSP 2003
2016
Рекомендации по устранению неисправностей
Изделие представляет собой сложное микропроцессорное устройство, поэтому
устранение неисправностей, если они не связаны с очевидными причинами возможно только на
предприятии
изготовителе или в его представительствах.
При возникновении вопросов, связанных с эксплуатацией изделия, обращайтесь,
пожалуйста, в службу технической по
ддержки компании
Терра или компании
Zelax.
Zelax
ST MM
1017
Cop
yright © S
Terra CSP 2003
2016
Гарантии изготовителя
Изделие прошло предпродажный прогон в течение 168 часов. Изготовитель гарантирует
соответствие изделия техническим характеристикам при соблюдении пользователем условий
эксплуатации.
Срок га
рантии указан в гарантийном талоне изготовителя.
Изготовитель обязуется в течение гарантийного срока безвозмездно устранять
выявленные дефекты путём ремонта или замены изделия или его модулей.
Если в течение гарантийного срока:
пользователем были нарушены
условия эксплуатации, приведенные в п.
6.1.3
, или
на изделие были поданы питающие напряжения, не соответствующие указанным
в п.
6.1.2
изделию нанесены механические повреждения;
порты изделия повреж
дены внешним опасным воздействием,
то ремонт осуществляется за счет пользователя.
Доставка неисправного изделия в ремонт осуществляется пользователем.
Гарантийное обслуживание прерывается, если пользователь произвел самостоятельный
ремонт изделия (в том чи
сле, замену встроенного предохранителя).
Zelax
ST MM
1017
Cop
yright
Terra CSP 2003
2016
Приложения
14.1
Приложение
. Назначение контактов портов E
thernet
10/100/1000Base
14.2
Приложение 2
. Назначение контактов порта
Console


Приложенные файлы

  • pdf 9375163
    Размер файла: 1 MB Загрузок: 0

Добавить комментарий