Общие сведения о системе
Дерево команд
Сетевые технологии
Аппаратная часть
Немного линукса
Для перемещения по дереву справки используйте строки заголовка.

Справка по NSG Linux 2.1.6
Дерево команд: tunnel.ipsec.connections.NAME.rightsubnet

Что это такое?

Это список защищаемых сетей на правой стороне туннеля.

Зачем это нужно?

Для отбора пакетов, которые должны быть направлены в туннель.

Как это настроить?

Ввести префикс правой приватной сети (в формате адрес/длина маски), или несколько префиксов через пробел. Фактически в конфигурации IPsec это будет параметр rightsubnets, а не rightsubnet, однако в командных оболочках NSG сохранён данный синтаксис для совместимости с конфигурациями от предыдущих версий. По умолчанию, используется значение right/32, т.е. сеть состоит из одного устройства right.

ВНИМАНИЕ! По существу технологии IPsec предполагается, что левая и правая (или локальная и удалённая) сети есть независимые подсети IP и не пересекаются по IP-адресам ни друг с другом, ни с публичной сетью. В противном случае результаты могут быть непредсказуемыми, в зависимости от особенностей реализации IPsec на обеих сторонах.
ПРИМЕЧАНИЕ. Дополнительно к отбору пакетов по IP-адресам, реализация IPsec в NSG Linux 2.1 допускает проверку по протоколам 4 уровня. Параметры для настройки протоколов в данной версии NSG Linux 2.1 не предусмотрены явным образом, но могут быть заданы, в случае необходимости, через поле extra-options: 
connections
: имя
: : extra-options
: : : leftprotoport = "протокол[/порт]"
: : : rightprotoport  = "протокол[/порт]"

Протокол здесь может быть указан как номером, так и алфавитным именем. Для TCP и UDP можно указать специфический номер порта, как по номеру, так и по стандартному имени прикладного протокола, а также в виде записи %any. Значения протоколов и портов должны быть настроены согласованным образом на обеих сторонах.

ПРИМЕЧАНИЕ. Защищаемая сеть может быть не подключена к шлюзу IPSec напрямую, а доступна через некоторый промежуточный маршрутизатор (при условии, что маршрутизация между этими сетями настроена корректно). В этом случае в качестве left/rightsourceip указывается IP-адрес интерфейса, через который отправляются пакеты на промежуточный маршрутизатор.

В терминах настройки IPsec в Cisco, параметры leftsubnet и rightsubnet в совокупности соответствуют расширенному access-list, который используется для отбора трафика в туннель. Отличие состоит в том, что в реализациях IPsec для Linux используются только сплошные маски, шаблоны с чередованием нулей и единиц не допускаются. Для практических целей это не существенно, поскольку требуемые сплошные подсети можно перечислить по отдельности.

© Network Systems Group 2015–2024 Отдел документации