NSG logo
NSG heading

Документы в формате PDF, архив (FTP) и Web-справка открываются в новом окне

Требуется подключить банкомат к процессинговой системе с использованием протокола ФПСУ. Также возможно использование любых других протоколов и служб, например, IPsec, NTP, FTP и проч. (В данном примере предполагается, что для всех них банкомат является клиентом, т.е. инициируент соединение к центральному серверу.) Для обеспечения бесперебойного подключения используется технология NSG uiTCP. Примеры построения собственно туннелей uiTCP см. здесь, здесь и здесь. Ниже приведена конфигурация соединения для передачи полезной нагрузки внутри туннеля. Используются, в терминах uiTCP, сокеты типа net.

Бесперебойное подключение банкомата к системе ФПСУ и серверам IPsec, NTP, FTP и проч.

Клиент

ip
: route
: : 1
: : : network = "10.0.0.0/8"
: : : gateway = "10.0.0.7" 
: nat 
: : POSTROUTING 
: : : 1 
: : : : out-interface = "ATM001.1" 
: : : : target = "MASQUERADE" 
: : HELPERS
: : : FTP
: : : : enable = true
………………………………………
tunnel 
: uitcp 
: : configure 
: : : tunnel 
: : : : name = "ATM001" 
: : : : socket 
: : : : : 1 
: : : : : : type = "net" 
: : : : : : net 
: : : : : : : ifAddress 
: : : : : : : : prefix = "172.31.0.1/31" 
: : : : : : : : peer = "10.0.0.7" 
……………………………………… 

Сервер

ip 
: nat 
: : POSTROUTING 
: : : 1 
: : : : out-interface = "eth1" 
: : : : target = "SNAT" 
: : : : to-source = "10.0.0.7" 
: : HELPERS
: : : FTP
: : : : enable = true
port
: eth1
: : ifAddress
: : : prefix = "10.0.0.7/8"
………………………………………
tunnel 
: uitcp 
: : configure 
: : : mode = "server" 
: : : clients 
: : : : ATM001 
: : : : : socket 
: : : : : : 1 
: : : : : : : type = "net" 
: : : : : : : net 
: : : : : : : : ifAddress 
: : : : : : : : : prefix = "10.0.0.7/32" 
: : : : : : : : : peer = "172.31.0.1" 
………………………………………

Дополнительные замечания:

Следующие решения выбраны для уменьшения числа уникальных настроек каждого клиента и снижения вероятности человеческих ошибок при конфигурации:

  • На серверной стороне соединения используется ненумерованный интерфейс (/32) с адресом, "одолженным" у интерфейса Ethernet — одинаковым для всех клиентов.
  • На клиентской стороне используется префикс с уникальным адресом и максимально длинной маской /31 — клиентам можно назначать подряд либо все чётные, либо все нечётные адреса.
  • Вместо обратных маршрутов от сервера uiTCP к клиентам используется NAT.
  • На клиенской стороне в NAT используется не Source NAT (что было бы логично, поскольку интерфейс имеет статический адрес), а MASQUERADING.
  • Маршрут в сеть процессингового центра (головного офиса) указан не через интерфейс dev = ATM001.1 (как это обычно делается для соединений точка-точка), а единообразно через шлюз — удалённый конец соединения.

Соединения ко всем серверам устанавливаются с адреса сервера uiTCP, поэтому им достаточно иметь обратные маршруты только до этого адреса.

Для передачи трафика IPSec на концевых шлюзах IPSec должен быть включён NAT Traversal.


© ООО "ЭН–ЭС–ДЖИ" 2004–2017 Web-master