Создание и настройка сообществ

Описание создания и настройки сообществ IPsec (Communities), определяя структуру взаимодействия IPsec-шлюзов.

В данном разделе описана настройка сообществ (Communities) — основных элементов структуры IPsec. Сообщества включают в себя IPsec-шлюзы и определяют структуру их взаимодействия.

Поддерживаемые топологии сетей:
  • Star («звезда») — центральный IPsec-шлюз (center) и IPsec-шлюзы сателлиты (satellite). Центральный IPsec-шлюз общается со всеми окружающими IPsec-шлюзами (сателлитами), которые не имеют прямой связи и могут взаимодействовать между собой только косвенно через центральный IPsec-шлюз.
    Важное замечание: Топология Star проще в настройке, меньше требования к ресурсам оборудования, но хуже отказоустойчивость из-за того, что есть центральный узел в сообществе.


  • Mesh («ячеистая сеть») — все IPsec-шлюзы связаны со всеми. Все участники сети независимо общаются между собой.
    Важное замечание: Топология Mesh сложнее в настройке сетевого взаимодействия IPsec, так как необходимо настроить маршрутизацию между всеми участниками сообщества. Соответственно возрастают требования к производительности оборудования, но отказоустойчивость такой схемы выше, так как выход из строя одного IPsec-шлюза не влияет на работу остальных.


  1. Перейдите на вкладку сообществ: IPsec settings > Communities.


  2. Нажмите Star для входа на страницу создания соответствующего сообщества.


  3. Введите параметры и нажмите Save для сохранения.
    Наименование Пример значения Описание
    Name Star-01 Имя сообщества в системе
    Description Описание сообщества в системе
    Authentication type
    • Pre-shared key
    • Pre-shared key (Auto-generated)
    • Certificate
    Метод аутентификации между компонентами данного сообщества
    Center IPsec-шлюз в формате:
    • Identificator (interface) узел имя@кластер имя
    Выберите Центр сообщества из списка уже созданных IPsec-шлюзов

    См. Создание управляемых СУ IPsec-шлюзов

    Satellites Список IPsec-шлюзов в формате:
    • Identificator (interface) узел имя@кластер имя
    Выберите Сателлиты сообщества из списка уже созданных IPsec-шлюзов

    См. Создание управляемых СУ IPsec-шлюзов

    Trusted CA certificates Данные сертификатов УЦ Доверенные сертификаты УЦ для шлюзов данного сообщества

    См. Установка корневых сертификатов удостоверяющего центра

    Intermediate CA certificates Данные сертификатов УЦ Доверенные промежуточные сертификаты УЦ для шлюзов данного сообщества

    См. Установка корневых сертификатов удостоверяющего центра

    Only use local CRL / При активации данной функции при аутентификации будет использоваться только локальные CRL без проверки в CDP (CRL Distribution Points распределительный пункты CRL)
    Ciphersuite Список наборов шифров в формате:

    имя тип шифрования

    Наборы шифров для данного сообщества

    См. Создание элементов Криптонаборов

    DPD delay 10 Интервал между сообщениями IKEv1 R_U_THERE, в секундах
    DPD timeout 45 Интервал времени, после которого не отвечающий узел считается вышедшим из строя, в секундах
    Fragmentation yes/no/force/accept Фрагментирование: будут ли сообщения IKE большого объёма отправляться фрагментами
  4. Нажмите Mesh для входа на страницу создания соответствующего сообщества.


  5. Введите параметры и нажмите Save для сохранения.
    Наименование Пример значения Описание
    Name Mesh-01 Имя сообщества в системе
    Description Описание сообщества в системе
    Authentication type
    • Pre-shared key
    • Pre-shared key (Auto-generated)
    • Certificate
    Метод аутентификации между компонентами данного сообщества
    IPsec Gateways Список IPsec-шлюзов в формате:
    • Identificator (interface) узел имя@кластер имя
    Выберите IPsec-шлюзы из списка, которые будут задействованы в данном сообществе

    См. Создание управляемых СУ IPsec-шлюзов

    Trusted CA certificates Данные сертификатов УЦ Доверенные сертификаты УЦ для шлюзов данного сообщества

    См. Установка корневых сертификатов удостоверяющего центра

    Intermediate CA certificates Данные сертификатов УЦ Доверенные промежуточные сертификаты УЦ для шлюзов данного сообщества

    См. Установка корневых сертификатов удостоверяющего центра

    Only use local CRL / При активации данной функции при аутентификации будет использоваться только локальные CRL без проверки в CDP (CRL Distribution Points распределительный пункты CRL)
    Ciphersuite Список наборов шифров в формате:

    имя тип шифрования

    Наборы шифров для данного сообщества

    См. Создание элементов Криптонаборов

    DPD delay 10 Интервал между сообщениями IKEv1 R_U_THERE, в секундах
    DPD timeout 45 Интервал времени, после которого не отвечающий узел считается вышедшим из строя, в секундах
    Fragmentation yes/no/force/accept Фрагментирование: будут ли сообщения IKE большого объёма отправляться фрагментами
  6. В меню Communities доступен фильтр поиска по имени в системе и по типу сообщества.