Руководство администратора еарм. 465254. 012 01 рэ



Скачать 206.19 Kb.
Дата03.05.2018
Размер206.19 Kb.
ТипРуководство





Аппаратная компонента однонаправленной передачи

«Стром-1000»
РУКОВОДСТВО АДМИНИСТРАТОРА

ЕАРМ.465254.012 01 РЭ



АННОТАЦИЯ
В данном документе дано описание назначения, состава, органов управления, интерфейсов аппаратной компоненты однонаправленной передачи (АКОП) «Стром-1000» (однонаправленного шлюза), а также процедур её начальной установки, восстановления и конфигурирования, необходимых администратору для конфигурирования и использования изделия.

СОДЕРЖАНИЕ



НАЗНАЧЕНИЕ 4

Описание изделия 5

РАБОТА УСТРОЙСТВА 12

КОНФИГУРИРОВАНИЕ УСТРОЙСТВА 21




НАЗНАЧЕНИЕ


АКОП «Стром-1000» предназначен для обеспечения однонаправленной передачи данных из внешних систем, в которых обрабатывается информация, не содержащая сведений ограниченного доступа, в том числе подключенных к сети «Интернет», в АСЗИ, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну с грифом до «совершенно секретно» включительно.

Аппаратная компонента однонаправленной передачи (АКОП) «Стром-1000» реализована в виде отдельного сетевого устройства – однонаправленного шлюза.

АКОП предназначен для гарантированной однонаправленной передачи файловой и потоковой информации, транспортируемой по IP протоколу, от внешней сети к внутренней.

При передаче трафика АКОП осуществляет фильтрацию IP пакетов, передаваемых из внешней сети по признаку наличия соответствующих адресов источников (разрешаемых к передаче) в таблице фильтрации.

АКОП не осуществляет антивирусный контроль передаваемой информации.

Разрешенный трафик передаётся во внутреннюю сеть в одном направлении, при этом происходит трансляция IP адресов назначения на внешнем сетевом интерфейсе в IP адреса внутренней сети. Также происходит трансляция mac-адреса внешнего сетевого интерфейса в mac-адрес сетевого интерфейса хоста внутренней сети для каждого пакета. Информация для осуществления данных операций задаётся в соответствующей конфигурационной таблице трансляции.



Описание изделия

1.1Состав


Аппаратная компонента однонаправленной передачи (АКОП) «Стром-1000» состоит из одного сетевого устройства – однонаправленного шлюза.

Для обеспечения холодной замены, в случае выхода из строя основного шлюза, должен быть предусмотрен резервный АКОП.

Однонаправленный шлюз поставляется в виде отдельного изделия формата 1U RACKMOUNT 19“.

Комплект поставки приведен в таблице:



Обозначение

Наименование

Кол.

Примечание

ЕАРМ.465254.012

Аппаратная компонента однонаправленной передачи (АКОП)

1







Кабель питания

1







Крышка ввода конфигурации










Винты для опломбирования крышки ввода

2







Комплект упаковки

1




ЕАРМ.465254.012 01 ПС

Паспорт

1







Эксплуатационная документация и утилиты конфигурирования на компакт-диске

1





1.2Программное обеспечение

Устройство представляет собой сложную микропроцессорную систему.

Программное обеспечение состоит из специализированного программного обеспечения внутренних микроконтроллеров и программируемых схем fpga.

Устройство поставляется с предустановленным СПО. Потребитель не может самостоятельно переустановить или модифицировать СПО.

Программное обеспечение изделия может модифицироваться разработчиком с целью улучшения его характеристик. Все новые версии СПО обновляются на предприятии-изготовителе.

1.3Внешний вид


Внешний вид изделия представлен на рис. 1.


Рис. 1 Внешний вид АКОП

1.4Электропитание АКОП

Электропитание АКОП осуществляется от сети переменного тока с напряжением питания 220 В.

Разъем питания - вилка типа IEC-320.

1.5Органы индикации и управления

Внешний вид лицевой панели АКОП показан на рисунке 2.

Внешний вид тыльной панели АКОП показан на рисунке 3.

Органы индикации АКОП, расположенные на лицевой панели устройства, их назначение показаны на рис.4.



Рис. 2. Лицевая панель АКОП

Рис. 3. Тыльная панель АКОП.



1.5.1LCD индикатор

Для индикации режимов работы и обеспечения интуитивно понятного пользовательского интерфейса, АКОП оснащен LCD дисплеем, обеспечивающим вывод текста с разрешением 2 строки по 16 символа. Индикатор располагается на лицевой панели устройства.

На индикаторе во время работы устройства отображаются: процесс и результаты стартовой проверки аппаратуры шлюза, количество пропущенных через шлюз пакетов, процесс считывания конфигураций с SD-носителя.

1.5.2Диагностические светодиодные индикаторы

Диагностические светодиодные индикаторы расположены на лицевой панели устройства см. Рис. 4

Индикаторы сетевых интерфейсов WAN и LAN расположены в правой части лицевой панели. Для каждого из интерфейсов имеется 4 зелёных индикатора, расположенных вертикально в линию, и означающих Link/Activity статуса соединения. Сверху вниз индикаторы скорости подключения отображают соответственно: 1000/100/10. Мигание индикатора означает наличие соединения и трафика по данному соединению. Горение непрерывным светом – наличие сетевого соединения. Если индикатор погашен - отсутствие соответствующего соединения.

Блок индикаторов статуса сетевого интерфейса является типовым для сетей с пропускной способностью до 1000 Мбит в секунду.

Для внутреннего сетевого интерфейса (LAN) используется индикатор только для скорости 1000, и индикатор Link/Activity будет указывать только на активность интерфейса в силу его однонаправленности.
Между индикаторами сетевых интерфейсов и LCD дисплеем располагаются индикаторы режимов однонаправленного шлюза зелёного цвета и индикатор «работа»- красного.

Назначение индикаторов шлюза соответственно сверху вниз:



  • питание – индикация питания шлюза;

  • конфигурации и стартовых проверок – индикация статуса аппаратного теста, наличия конфигураций;

  • активность SD ридера – индикация наличия SD карты в слоте и чтения/записи SD носителя.

Индикатор питания предназначен для указания наличия электрического питания шлюза. При включении устройства индикатор горит.

Индикатор «конфигурации и стартовых проверок» указывает на различные режимы работы. При стартовой аппаратной проверке внутреннего оборудования данный индикатор часто мигает. Если при проверке обнаружились ошибки, индикатор вспыхивает короткими вспышками. Если индикатор редко мигает – это означает, что у шлюза нет сохранённой конфигурации для работы. Если индикатор горит непрерывно – шлюз имеет конфигурацию и готов к работе.

Индикатор «активность SD ридера» горит непрерывным светом, если в слоте присутствует носитель SD, мигает при осуществлении операций чтения/записи на носитель.

Индикатор «работа» горит красным цветом, в случае если однонаправленный канал связи между сетевыми WAN и LAN интерфейсами недоступен и погасает при нормальной работе.



1.5.3Выключатель питания

Шлюз имеет двухпозиционный выключатель питания расположенный на тыльной панели см. рис. 3. Верхнее положение выключателя –«Включено».



1.6Сетевые интерфейсы однонаправленного шлюза

Сетевой порт для подключения к внешнему сегменту сети (WAN) имеет физический разъём типа RJ-45 и разъем для подключения SFP модуля. Разъём типа RJ-45 предназначен для подключения к сетям Ethernet 100/1000 Base-TX по медной витой паре.

Разъем для подключения SFP модуля предназначен для работы с сетями Ethernet 1000 BASE-SX по оптическому кабелю.
Сетевой порт для подключения к внутреннему сегменту сети (LAN) имеет физический разъём типа ST (только гнездо передатчика) и предназначен для подключения к сети Ethernet 1000Base-SX по оптическому многомодовому кабелю.


1.7Локальный интерфейс конфигурирования

Шлюз имеет локальный интерфейс загрузки конфигурационной информации – встроенный считыватель SD карт. Гнездо считывателя расположено на лицевой панели устройства см. рис. 2.

Интерфейс имеет опечатываемую крышку для защиты от несанкционированного доступа.

1.8Основные технические характеристики





Количество пользователей

до 512

Пропускная способность между

сетевыми интерфейсами WAN и LAN



Не менее 960 Мбит/сек



РАБОТА УСТРОЙСТВА

1.9Инсталяция изделия

1.9.1Распаковка


Распаковка изделия выполняется в следующем порядке:

  1. Открыть коробку и вынуть упаковочные материалы и собственно изделие.

  2. Проверить содержимое (комплектность) согласно п.2.1

  3. Выполнить визуальный осмотр устройства на предмет наличия видимых физических повреждений и нарушений пломбировки, в случае их наличия связаться с поставщиком.



1.9.2Монтаж


Требований к монтажу изделия не предъявляется

1.9.3Подключение электропитания


Подключение электропитания АКОП осуществляется от сети переменного тока с напряжением питания 220 В.

1.9.4Соединения с вычислительными сетями

Подключение устройства к сегменту внешней сети (WAN) производится посредством сетевого UTP кабеля 5 категории и выше или оптическим кабелем с разъемами LC.

Подключение устройства к сегменту внутренней сети (LAN) производится посредством оптического кабеля (только ТX провод) оконцованного разъёмом типа ST со стороны АКОП.

1.9.5Требования к организационно-режимным мероприятиям


Потребитель при установке изделия на объекте должен предпринять организационные меры, исключающие несанкционированное вскрытие корпуса и крышки ввода конфигурации, а также меры периодического контроля опломбирования. Должна быть исключена возможность несанкционированной перекоммутации кабелей, которыми изделие подключается к категорированной сети и к открытому сегменту.

Снятие крышки ввода конфигурации разрешается только на время ввода конфигурационной информации в изделие.

После ввода конфигурационной информации крышка ввода должна быть закрыта и опечатана.

1.10Включение устройства


Включение питания устройства осуществляется переключателем питания.

После подачи питания загорается индикатор питание. Индикатор работа загорается красным цветом, указывая на запрещение передачи.

Далее устройство производит проверку питающих напряжений внутренних вторичных источников питания и в случае успешной проверки производит загрузку СПО fpga.

Суммарное время проверки питания и загрузки составляет около одной секунды. Во время стартовых тестов индикатор конфигурации и стартовых проверок часто моргает.

Далее на LCD индикатор выводится номер версии СПО mcu и fpga см.рис. 5.


firm 1.0.1.2-155

fpga 128.1-7

Рис. 5. Пример вывода информации о версии СПО
Через три секунды после данного экрана выводится результат стартовой проверки аппаратуры. Если тест выполнен успешно, то выводится сообщение, показанное на рис.6.

ТЕСТЫ НОРМА




Рис. 6. Индикация успешного прохождения аппаратных тестов
Если выявлены ошибки при прохождении теста, выводится сообщение об ошибке, статусное слово устройства см. Рис. 7. Дальнейшая работа устройства при этом блокируется. Индикатор работа при этом горит красным светом, указывая на блокировку предачи.

Следует отметить, что код ошибки и статус аварии отображает mcu wan секции. Информационной связи между микроконтроллерами секций нет. Поэтому для индикации аварийный ситуаций также используются индикаторы ledmcu соответствующих секций. Если они мограют короткими вспышками, значит секция находится в аварийном режиме.



АВАРИЯ !!!!

Статус 00000002

Рис. 7. Аппаратная ошибка питания
Далее устройство проверяет наличие сохранённых конфигураций во внутренней флэш-памяти, если конфигурации существуют, то они применяются. Индикатор конфигурации и стартовых проверок при этом загорается и горит непрерывным светом. А индикатор работа потухает – передача трафика через шлюз разрешена.

Если конфигурации отсутствуют или их контрольная сумма повреждена, тоиндикатор конфигурации и стартовых проверок мигает с периодом 1 сек., а индикатор работа продолжает гореть красным светом – передача запрещена.

Далее устройство переходит в режим «работа».

1.11Рабочий режим


В режиме работа устройство передаёт сетевые пакеты в одном направлении от внешней сети во внутреннюю. На LCD индикаторе при этом отображается режим и количество успешно пропущенных пакетов см. Рис.8.

Шлюз: работа

0000000100 пак.

Рис. 8. Экран рабочего режима устройства
Если конфигурации отсутствуют или их контрольная сумма повреждена, то индикатор конфигурации и стартовых проверок мигает с периодом 1 сек., а индикатор работа продолжает гореть красным светом – передача запрещена. На LCD индикаторе при этом будет отображаться информация показанная на рис. 9.

Шлюз блокирован

нет конфигураций

Рис. 9. Экран рабочего режима устройства в случае отсутствия конфигураций
Если конфигурации будут заданы некорректно, то устройство не будет индицировать никаких ошибок, однако передача пакетов производиться не будет.

Во время работы устройство постоянно производит мониторинг источников питания. В случае их отказа устройство перейдёт в аварийный режим, работа блокируется, а на экране высветится сообщение, показанное на рис.7.

Индикатор ledmcu соответствующей секции начнёт мограть короткими вспышками, а работа секции аппаратно блокируется.

В случае возникновения аппаратных ошибок, изделие необходимо передать изготовителю для проведения гарантийного или послегарантийного ремонта.

В любой момент рабочего режима доступна смена конфигураций однонаправленного шлюза. При этом на момент конфигурирования передача блокируется.

1.12Смена конфигураций

Смена конфигураций однонаправленного шлюза производится в рабочем режиме посредством помещения в считыватель SD карт носителя, содержащего конфигурационный файл.

Если корректно подготовленный носитель с конфигурационным файлом правильно помещён в считыватель, то происходит его считывание и применение.

На время смены конфигурации устройства передача информации блокируется.

Во время считывания устройство ищет в корне файловой системе SD носителя файл strom.cfg или первый по алфавиту файл с расширением cfg правильного формата.

В случае обнаружения искомого файла на дисплее отображается сообщение, показанное на рис. 10.



zcfg.cfg

Найден

Рис. 10. Индикация применения новых настроек
В случае если искомый файл конфигурации не обнаружен, в силу тех или иных причин, выводится сообщение, показанное на рис. 11. Устройство возвращается к настройкам, которые были установлены до попытки переконфигурирования.

Конфиг. Файл

не обнаружен

Рис. 11. Индикация неудачной попытки конфигурирования устройства
Если файл обнаружен, то проверяется правильность его формата и проверка контрольной суммы.

В случае успешной проверки файл сохраняется во внутренней флэш памяти, на LDC индикатор выводится сообщение, показанное на рис. 12.




КС проверена

Файл сохранён

Рис. 12. Результат успешной проверки контрольной суммы конфигурационного файла.
В случае неудачи выводится сообщение показанное на рис.13

КС ошибка !

Файл не сохранён

Рис. 13. Результат неудачной проверки контрольной суммы конфигурационного файла.
Далее происходит применение конфигурационной информации из внутренней флэш памяти устройства. Таким образом, если новая конфигурация не сохранилась из-за ошибки, будет восстановлена предыдущая.

1.13Выключение устройства

Выключение устройства осуществляется переводом выключателя питания в положение «Выкл.»



1.14Статусное слово устройства

При индикации фатальных ошибок устройства, предполагающих блокировку работы, на LCD индикатор выводится статусное слово в шестнадцатеричном формате см. рис.7.

Каждый бит статусного слова отвечает за соответствующую аппаратную ошибку. Бит, установленный в логическую «1»- означает ошибку.

Биты статусного слова устройства приведены в таблице 2.




Номер бита статусного слова

Расшифровка ошибки

0

Ошибка загрузки СПО fpga

1

Ошибка инициализации внешнего phy

2

Ошибка инициализации внутреннего phy

3-31

Резервные биты

Таблица 2. Биты ошибок статусного слова устройства.



1.15Восстановление работоспособности устройства

Однонаправленный шлюз не предполагает восстановления работоспособности устройства потребителем самостоятельно. Поэтому для обеспечения минимального времени простоя, при аварии аппаратной компоненты, её следует заменить резервной, предварительно сконфигурированной, так же как и основная.

Неисправное устройство следует отправить производителю для диагностики и ремонта.


КОНФИГУРИРОВАНИЕ УСТРОЙСТВА

1.16Общие положения

Шлюз имеет локальный интерфейс загрузки конфигурационной информации – встроенный считыватель SD карт. Гнездо считывателя расположено на лицевой панели устройства.

Конфигурационный файл, это бинарный файл с именем strom.cfg или с другим именем, но с расширением cfg. Файл имеет специальный формат и содержит в себе macадрес внешнего сетевого интерфейса, таблицу фильтрацииipадресов источников и таблицу трансляции ip и мак адресов назначения. Устройство при конфигурировании сначала осуществляет поиск файла strom.cfg, а потом любого первого по алфавиту файла с расширением cfg в корне файловой системы носителя конфигураций.

При обнаружении искомого имени производится проверка внутреннего формата файла и применение конфигураций.

Для удобства администрирования, файл конфигураций составляется в текстовом виде (только ASCII формат!), в любом удобном редакторе, а затем преобразуется в бинарный вид компилятором zc (поставляется для платформ Windows и Linux), который входит в комплект поставки.

1.17Требования к носителю, расположению и наименованию конфигурационного файла

К носителю и расположению конфигурационной информации представляются следующие требования:



  1. Носитель должен соответствовать спецификации SD, SDHC (version 1 и выше) и иметь возможность работы в SPI mode.

  2. Файловая система должна быть FAT32.




  1. бинарный конфигурационный файл должен быть с расширением *.cfg




  1. бинарный конфигурационный файл должен быть расположен в корневом каталоге файловой системы носителя




  1. Для имени файла допускается использовать алфавит в любом регистре. При поиске файла устройством его имя приводится к нижнему регистру. Устройство работает с короткими именами (формат 8.3). Русские буквы допускаются.


1.18Текстовый конфигурационный файл


Текстовый файл конфигураций составляется в текстовом виде, только в ASCII формате, в любом удобном редакторе.
В файле допускаются комментарии, которые предваряются символом «#».

Ключевые слова вводятся в нижнем регистре латинского алфавита.

Окончанием строки содержащей конфигурационную запись является конец строки.

1.18.1Аппаратный macадрес внешнего сетевого интерфейса


Задаётся записью вида:

wan mac xx:xx:xx:xx:xx:xx


Обозначает МАС адрес шлюза в открытой сети.
Пример: wan mac 01:aa:bb:45:00:ff
Замечание. Стоит избегать ввода бродкастовых и мультикастовых МАС адресов для исключения некорректной работы с сети.

1.18.2Таблица разрешённых внешних адресов источников (таблица фильтрации)


Задаётся записями вида: ip permit IPsrc
Обозначает разрешенный IP адрес хоста открытой сети. Данные с указанного IPадреса могут поступать в закрытую сеть.

Разрешенных IP адресов может быть несколько. Несколько разрешенных IP адресов образуют список разрешенных IP адресов. Максимальное количество IP адресов- 512. IP адреса могут быть из разных подсетей.


Пример использования:

ip permit 192.168.1.1

ip permit 192.168.1.2

. . .


ip permit 195.0.0.1

1.18.3Таблица трансляции


Задается записями вида:

route IPdst_open IPdst_private MACdst_private


Обозначает правило маршрутизации в закрытую сеть.

IP пакет из внешней сети с IP назначения IPdst_open может попасть в закрытую сеть с IP назначения IPdst_private на МАС адрес MACdst_private.

Правил может быть несколько. Несколько правил образуют таблицу маршрутизации. Максимальное количество записей в таблице- 512.
Пример:
route 192.168.1.5 10.8.0.1 00:00:00:00:00:01

route 192.168.1.6 10.8.0.2 00:00:00:00:00:02


Пакет попадет в закрытую сеть только в том случае, если IP источника пакета присутствует в списке разрешенных IP адресов и IP назначения присутствует в таблице маршрутизации.

1.18.4Пример текстового файла конфигурации

# конфигурационный файл

wan mac 11:12:12:01:02:03

# access-list

ip permit 192.168.1.1

ip permit 192.168.1.2

ip permit 195.0.0.1

#mapping table

route 192.168.1.5 10.8.0.1 00:00:00:00:00:01

route 192.168.1.6 10.8.0.2 00:00:00:00:00:02



1.19Компиляция текстового файла конфигурации

Компиляция конфигурационного файла осуществляется входящим в комплект поставки компилятором zc.

Компилятор zc поставляется для ОС Windows (Windows XP, Windows Vista, Windows 7) и для ОС Linux.

Формат вызова для ОС Windows:

zc.exe conf.txt conf.cfg

Формат вызова для ОС Linux:

zc conf.txt conf.cfg

где conf.txt– текстовый входной конфигурационный файл



conf.cfg– скомпилированный выходной бинарный конфигурационный файл.



2013



Поделитесь с Вашими друзьями:


База данных защищена авторским правом ©vossta.ru 2019
обратиться к администрации

    Главная страница