Это список защищаемых сетей на левой стороне туннеля.
Для отбора пакетов, которые должны быть направлены в туннель.
Ввести префикс левой приватной сети (в формате адрес/длина маски), или несколько префиксов через пробел. Фактически в конфигурации IPsec это будет параметр leftsubnets
, а не leftsubnet
, однако в командных оболочках NSG сохранён данный синтаксис для совместимости с конфигурациями от предыдущих версий. По умолчанию, используется значение left/32
, т.е. сеть состоит из одного устройства left
.
ВНИМАНИЕ! По существу технологии IPsec предполагается, что левая и правая (или локальная и удалённая) сети есть независимые подсети IP и не пересекаются по IP-адресам ни друг с другом, ни с публичной сетью. В противном случае результаты могут быть непредсказуемыми, в зависимости от особенностей реализации IPsec на обеих сторонах.
ПРИМЕЧАНИЕ. Дополнительно к отбору пакетов по IP-адресам, реализация IPsec в NSG Linux 2.1 допускает проверку по протоколам 4 уровня. Параметры для настройки протоколов в данной версии NSG Linux 2.1 не предусмотрены явным образом, но могут быть заданы, в случае необходимости, через полеextra-options
:connections : имя : : extra-options : : : leftprotoport = "протокол[/порт]" : : : rightprotoport = "протокол[/порт]"Протокол здесь может быть указан как номером, так и алфавитным именем. Для TCP и UDP можно указать специфический номер порта, как по номеру, так и по стандартному имени прикладного протокола, а также в виде записи
%any
. Значения протоколов и портов должны быть настроены согласованным образом на обеих сторонах.
ПРИМЕЧАНИЕ. Защищаемая сеть может быть не подключена к шлюзу IPSec напрямую, а доступна через некоторый промежуточный маршрутизатор (при условии, что маршрутизация между этими сетями настроена корректно). В этом случае в качестве left/rightsourceip
указывается IP-адрес интерфейса, через который отправляются пакеты на промежуточный маршрутизатор.
В терминах настройки IPsec в Cisco, параметры leftsubnet
и rightsubnet
в совокупности соответствуют расширенному access-list, который используется для отбора трафика в туннель. Отличие состоит в том, что в реализациях IPsec для Linux используются только сплошные маски, шаблоны с чередованием нулей и единиц не допускаются. Для практических целей это не существенно, поскольку требуемые сплошные подсети можно перечислить по отдельности.
© Network Systems Group 2015–2024 | Отдел документации |