6 Типовые схемы защиты ЛВС ПЦО

6.1 Типовая схема для количества охраняемых объектов до 100

Рис. 6.1. Типовая схема включения для малого количества охраняемых объектов

Для защиты ЛВС ПЦО с количеством охраняемых объектов менее 100 рекомендуется использовать недорогой маршрутизатор Mikrotik RB/MRTG (рис.6.2). Этот маршрутизатор - оптимальное решение для построения мелких и средних гигабитных сетей. Мощный сетевой процессор Atheros AR7161 и пять портов Ethernet позволяют использовать RB/MRTG в качестве высокопроизводительного маршрутизатора, брандмауэра, а также эффективно управлять полосой пропускания. Устройство имеет гибкую функциональность, которой удобно пользоваться с помощью удобного графического интерфейса. Интерфейс имеет множество приятных особенностей: применение настроек без перезагрузки, встроенные средства диагностики сети, реалтайм отображение текущего состояния маршрутизатора (сетевых интерфейсов, правил маршрутизации и т.п.). Для сложных задач имеется встроенный скриптовый интерпретатор с развитыми сетевыми функциями. Благодаря использованию специализированного ПО (операционная система Linux) система имеет низкие аппаратные требования, что в совокупности с мощными сетевыми процессорами дает высокое быстродействие, малую потребляемую мощность.

Рис. 6.2. Маршрутизатор Mikrotik RB/MRTG

Основные характеристики Mikrotik RB/MRTG:

В данной схеме (рис.6.1) организуется один основной канал связи для подключения ПЦО к Интернету. Кабель провайдера Интернета подключается в первый Ethernet порт (ether1) роутера. Кабель от коммутатора ЛВС ПЦО подключается во второй Ethernet порт (ether2) роутера. Компьютер для настройки роутера подключается в третий (ether3) или четвертый Ethernet порт (ether4) роутера.

В зависимости от того, каким способом осуществляется подключение к провайдеру, надо получить от него следующие данные:

1. PPPOE — надо знать пару: Логин и пароль

2. DHCP — ничего не надо, т.к. настройки роутер получит автоматически

3. DHCP + MAC — надо знать MAC адрес устройства который ранее выступал в роли роутера или MAC адрес на ПК Windows (это можно узнать командой Пуск > Выполнить > cmd; в черном окне набрать ipconfig /all)

4. StaticIP — надо знать статический IP адрес, маску подсети, шлюз, и 2 DNS

После настройки соединения можно проверить, что есть доступ к Интернету при помощи команды ping, например, ping ya.ru. Если соединение настроено правильно, будут отображены ответы на запрос ping.

Для обеспечения безопасности необходимо отключить все ненужные сервисы, например, telnet, ftp, www, www-ssl, ssh, api. Указать конкретный адрес компьютера, с которого будет запускаться программа конфигурирования, например, Winbox.

Необходимо из руководства по эксплуатации на СПИ определить, какой порт и протокол используются для соединений АРМ с приборами. Например, для СПИ «Приток-А» используются 40000 порт и протокол UDP. В соответствии с этими данными настроить проброс портов и прохождение пакетов по порту в правилах файрвола по порту ether1.

Пример настройки маршрутизатора Mikrotik приведен в приложении В.

Далее >>>