Mena ka tukuna, ka whiwhi ranei to kamupene i nga raraunga whaiaro me etahi atu korero matatapu i runga i te whatunga e tiakina ana i runga i te ture, me whakamahi te whakamunatanga GOST. I tenei ra ka korero matou ki a koe me pehea te whakatinana i taua whakamunatanga i runga i te kuaha S-Terra crypto (CS) i tetahi o nga kaihoko. Ka pai tenei korero ki nga tohunga mo te haumaru korero, tae atu ki nga miihini, nga kaihoahoa me nga kaihoahoa. E kore matou e ruku hohonu ki nga ahuatanga o te whirihoranga hangarau i tenei pou; ka arotahi matou ki nga kaupapa matua o te tatūnga taketake. He maha nga tuhinga mo te whakatu i nga daemon Linux OS, kei runga te S-Terra CS, kei te waatea noa i runga ipurangi. Kei te watea whanuitia nga tuhinga mo te whakatuu rorohiko S-Terra rangatira kaihanga.
He kupu torutoru mo te kaupapa
Ko te topology whatunga a te kaihoko he paerewa - he mata katoa i waenga i te pokapū me nga manga. I tika kia whakaurua te whakamunatanga o nga hongere whakawhiti korero i waenga i nga waahi katoa, e 8.
I te nuinga o nga wa i roto i nga kaupapa penei he pateko nga mea katoa: ko nga huarahi pateko ki te whatunga rohe o te papaanga kei runga i nga huarahi crypto (CGs), kua rehitahia nga rarangi o nga wahitau IP (ACL) mo te whakamunatanga. Heoi, i tenei keehi, karekau he mana motuhake o nga waahi, ka puta nga mea katoa i roto i o raatau whatunga rohe: ka taea te taapiri, te muku, me te whakarereke i nga whatunga i nga huarahi katoa. Hei karo i te whirihora ano i te ararere me te ACL i runga i te KS i te wa e huri ana i nga korero o nga whatunga a-rohe i nga waahi, i whakatauhia ki te whakamahi i te GRE tunneling me te OSPF ararere hihiri, kei roto katoa nga KS me te nuinga o nga pouara i te taumata matua o te whatunga i nga waahi ( i etahi waahi, he pai ake nga kaiwhakahaere hangahanga ki te whakamahi i te SNAT ki te KS i runga i nga pouara kernel).
Ko te tunneling GRE ka taea e matou te whakaoti rapanga e rua:
1. Whakamahia te wahitau IP o te atanga o waho o te CS mo te whakamunatanga i roto i te ACL, e whakauru ana i nga waka katoa ka tukuna ki etahi atu waahi.
2. Whakaritehia nga ptp tunnels i waenga i nga CSs, ka taea e koe te whirihora i te ararere hihiri (i roto i ta maatau, kei te whakaritea te MPLS L3VPN a te kaiwhakarato i waenga i nga waahi).
I whakahaua e te kiritaki te whakatinanatanga o te whakamunatanga hei ratonga. Ki te kore, me kore noa ia e pupuri i nga kuaha crypto, ki te whakaputa atu ranei ki etahi whakahaere, engari me aro turuki ano ia i te huringa ora o nga tiwhikete whakamunatanga, te whakahou i te waa me te whakauru i nga mea hou.
Na inaianei ko te memo tuturu - me pehea me te aha i whirihorahia e matou
Kia mahara ki te kaupapa CII: te whakarite i te kuaha crypto
Tatūnga whatunga taketake
Tuatahi, ka whakarewahia e matou he CS hou ka uru ki te papatohu whakahaere. Me timata koe ma te huri i te kupuhipa kaiwhakahaere whakauru - whakahau huri i te kaiwhakahaere kupuhipa kaiwhakamahi. Na ka hiahia koe ki te whakahaere i te tikanga arawhiti (whakahau tīmata) i te wa e whakauruhia ai nga raraunga raihana ka arawhitia te puoko tau matapōkere (RNS).
Kia tupato! Ina arawhitia a S-Terra CC, ka whakatauhia he kaupapa here haumarutanga e kore e taea e nga atanga kuaha haumaru te tuku i nga paakete kia puta. Me hanga e koe taau ake kaupapa here me whakamahi ranei i te whakahau rere csconf_mgr whakahohe whakahohehia he kaupapa here tuku kua tautuhia.
I muri mai, me whirihora e koe te korero mo nga atanga o waho me o roto, me te ara taunoa. He pai ake te mahi me te whirihoranga whatunga CS me te whirihora whakamunatanga ma te papatohu rite Cisco. I hangaia tenei papatohu ki te whakauru i nga whakahau e rite ana ki nga whakahau Cisco IOS. Ko te whirihoranga i hangaia ma te whakamahi i te papatohu rite-Cisco, ka huri ki nga konae whirihoranga e rite ana ki te mahi a nga daemon OS. Ka taea e koe te haere ki te papatohu rite Cisco mai i te papatohu whakahaere me te whakahau whirihora.
Hurihia nga kupuhipa mo nga cscons kaiwhakamahi kua whakauruhia, ka whakahohe:
>whakahohe
Kupuhipa: csp(kua oti te whakauru)
#whirihora te tauranga
#kaiwhakamahi cscons mana 15 mea ngaro 0 #whakahohea ngaro 0 Te whakarite i te whirihoranga whatunga taketake:
#atanga GigabitEthernet0/0
#ip wāhitau 10.111.21.3 255.255.255.0
#kaore e kati
#atanga GigabitEthernet0/1
#ip wāhitau 192.168.2.5 255.255.255.252
#kaore e kati
#ara ip 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Puta atu i te papatohu rite Cisco ka haere ki te anga debian me te whakahau pūnaha. Tautuhia taau ake kupuhipa mo te kaiwhakamahi pakiaka kapa Tuhinga o mua.
I ia ruma whakahaere, ka whirihorahia he kohanga motuhake mo ia waahi. Kua whirihorahia te atanga kauhanga ki te konae / Etc / whatunga / atanga. Ko te whaipainga tunnel IP, kei roto i te huinga iproute2 kua oti te whakauru, he kawenga mo te hanga i te atanga ake. Ko te whakahau hanga atanga ka tuhia ki te waahanga o mua.
Tauira whirihoranga o te atanga kauhanga angamaheni:
pae auto1
iface site1 inet pateko
wāhitau 192.168.1.4
netmask 255.255.255.254
mua-ake ip tunnel tāpiri pae1 aratau gre rohe 10.111.21.3 mamao 10.111.22.3 kī hfLYEg^vCh6p
Kia tupato! Me tohu ko nga tautuhinga mo nga atanga kauhanga me noho ki waho o te waahanga
###netifcfg-timata####
*****
###netifcfg-mutunga####
Ki te kore, ka tuhiruatia enei tautuhinga ina huri i nga tautuhinga whatunga o nga atanga tinana ma te papatohu rite Cisco.
Ararere hihiko
I S-Terra, ka whakatinanahia te ararere hihiri ma te whakamahi i te kete rorohiko Quagga. Hei whirihora i te OSPF me whakaahei me te whirihora i nga daemons hepapa и ospfd. Ko te zebra daemon te kawenga mo te whakawhitiwhiti korero i waenga i nga daemon ararere me te OS. Ko te daemon ospfd, e kii ana te ingoa, kei a ia te kawenga mo te whakatinana i te kawa OSPF.
Ka whirihorahia te OSPF ma te papatohu daemon, ma te konae whirihoranga ranei /etc/quagga/ospfd.conf. Ko nga atanga tinana katoa me nga atanga kauhanga e uru ana ki te ararere hihiri ka taapirihia ki te konae, ka panuitia ano nga whatunga ka panuitia me te whiwhi panui.
He tauira o te whirihoranga me taapiri atu ki ospfd.conf:
atanga eth0
!
atanga eth1
!
pae atanga1
!
pae atanga2
pouara ospf
ospf pouara-id 192.168.2.21
whatunga 192.168.1.4/31 rohe 0.0.0.0
whatunga 192.168.1.16/31 rohe 0.0.0.0
whatunga 192.168.2.4/30 rohe 0.0.0.0
I tenei keehi, ko nga wahitau 192.168.1.x/31 kua rahuitia mo nga whatunga ptp tunnel i waenga i nga waahi, ko nga wahitau 192.168.2.x/30 ka tohatohahia mo nga whatunga whakawhiti i waenga i te CS me nga pouara kernel.
Kia tupato! Hei whakaiti i te ripanga ararere i roto i nga whakaurunga nui, ka taea e koe te tarai i te panui o nga whatunga whakawhiti ma te whakamahi i nga hanganga. karekau he tohatoha hono ranei toha ano te mapi-ara hono.
Whai muri i te whirihora i nga daemons, me huri koe i te mana whakaoho o nga daemons i roto /etc/quagga/daemons. I roto i nga whiringa hepapa и ospfd kaore he huringa ki te ae. Tīmatahia te quagga daemon ka tautuhi ki te autorun ka timata koe i te whakahau KS whakahou-rc.d quagga whakahohea.
Mena ka tika te whirihoranga o nga kauhanga GRE me te OSPF, katahi ka puta nga huarahi i roto i te whatunga o etahi atu waahi ki runga i te KSh me nga pouara matua, a, na reira, ka puta te hononga whatunga i waenga i nga whatunga rohe.
Ka whakamuna matou i nga waka tuku
Ka rite ki te mea kua tuhia, i te nuinga o te wa ka whakamuna i waenga i nga waahi, ka tohua e matou nga awhe wahitau IP (ACL) i waenga i nga waka e whakamunatia ana: ki te taka te puna me nga wahitau ūnga ki roto i enei awhe, ka whakamunatia te hokohoko i waenga i a raatau. Heoi, i roto i tenei kaupapa he hihiri te hanganga, ka rereke pea nga wahitau. I te mea kua whirihorahia e matou te toronga GRE, ka taea e matou te tohu i nga wahitau KS o waho hei puna me nga wahitau taunga mo te whakamuna waka - i muri i nga mea katoa, ka tae mai nga waka kua whakauruhia e te kawa GRE mo te whakamunatanga. I etahi atu kupu, ko nga mea katoa ka uru ki roto i te CS mai i te whatunga rohe o tetahi pae ki nga whatunga kua panuitia e etahi atu pae ka whakamunatia. A, i roto i ia waahi ka taea te whakarereketanga. No reira, mena ka puta he huringa i roto i nga whatunga o te rohe, me whakarereke noa e te kaiwhakahaere nga panui ka puta mai i tana whatunga ki te whatunga, ka waatea ki etahi atu waahi.
Ko te whakamunatanga i roto i te S-Terra CS ka mahia ma te whakamahi i te kawa IPSec. Ka whakamahia e matou te "Grasshopper" algorithm i runga i te GOST R 34.12-2015, a mo te hototahi ki nga putanga tawhito ka taea e koe te whakamahi GOST 28147-89. Ka taea te mahi motuhēhēnga i runga i ngā kī kua tautuhia kētia (PSK) me ngā tiwhikete. Engari, i roto i nga mahi ahumahi he mea tika ki te whakamahi i nga tiwhikete i tukuna i runga i te GOST R 34.10-2012.
Ko te mahi me nga tiwhikete, ipu me nga CRL ka mahia ma te whakamahi i te taputapu cert_mgr. Tuatahi, ma te whakamahi i te whakahau cert_mgr hanga he mea tika ki te whakaputa i tetahi ipu matua motuhake me te tono tiwhikete, ka tukuna ki te Whare Whakahaere Tiwhikete. I muri i te whiwhinga o te tiwhikete, me kawemai me te tiwhikete CA pakiaka me te CRL (mehemea ka whakamahia) me te whakahau cert_mgr kawemai. Ka taea e koe te whakarite kei te whakauruhia nga tiwhikete me nga CRL katoa me te whakahau cert_mgr whakaatu.
I muri i te pai o te whakauru i nga tiwhikete, haere ki te papatohu Cisco-rite ki te whirihora i te IPSec.
Ka hangaia e matou he kaupapa here IKE e whakaatu ana i nga huringa e hiahiatia ana me nga tawhā o te hongere haumaru ka hangaia, ka tukuna ki te hoa mo te whakaaetanga.
#crypto isakmp kaupapa here 1000
#encr gost341215k
#hash gost341112-512-tc26
#tohu motuhēhēnga
#rōpū vko2
#ora 3600
Ka whakamahia tenei kaupapa here i te wa e hanga ana i te waahanga tuatahi o IPSec. Ko te hua o te otinga angitu o te wahanga tuatahi ko te whakaturanga o te SA (Security Association).
I muri mai, me tautuhi he rarangi o nga wahitau IP puna me te waahi IP (ACL) mo te whakamunatanga, te whakaputa i te huinga huringa, te hanga i tetahi mahere cryptographic (mapi crypto) ka herea ki te atanga o waho o te CS.
Tautuhi ACL:
#ip uru-rarangi pae toroa1
#whakaae gre ope 10.111.21.3 ope 10.111.22.3
He huinga o nga huringa (he rite ki te waahanga tuatahi, ka whakamahia e matou te "Grasshopper" algorithm whakamunatanga ma te whakamahi i te aratau whakangao whakauru whakauru):
#crypto ipsec huri-tautuhi GOST esp-gost341215k-mac
Ka hangaia e matou he mapi crypto, whakapūtā te ACL, huri i te huinga me te wāhitau hoa:
#crypto map MAIN 100 ipsec-isakmp
#taurite pae wāhitau1
#tautuhi huri-tautuhi GOST
#tautuhi hoa 10.111.22.3
Ka herea e matou te kaari crypto ki te atanga o waho o te rehita moni:
#atanga GigabitEthernet0/0
#ip wāhitau 10.111.21.3 255.255.255.0
#mapi crypto MAIN
Hei whakamuna i nga waahana me etahi atu waahi, me whakahoki ano e koe te tikanga mo te hanga i te kaari ACL me te kaari crypto, te huri i te ingoa ACL, nga wahitau IP me te nama kaari crypto.
Kia tupato! Mena karekau e whakamahia te manatoko tiwhikete na CRL, me tino tohu tenei:
#crypto pki trustpoint s-terra_technological_trustpoint
#revocation-taki kore tetahi
I tenei wa, ka taea te whakaaro kua oti te whakarite. I roto i te putanga whakahau papatohu Cisco-rite whakaatu crypto isakmp sa и whakaatu crypto ipsec sa Ko nga waahanga tuatahi me te waahanga tuarua o te IPSec me whakaatu. Ko nga korero ano ka taea te tiki ma te whakamahi i te whakahau sa_mgr whakaatu, i mahia mai i te anga debian. I roto i te putanga whakahau cert_mgr whakaatu Me puta nga tiwhikete pae mamao. Ko te mana o aua tiwhikete Tawhiti. Mena kaore i te hangaia nga kohanga, me titiro koe ki te raarangi ratonga VPN, kei te rongoa i roto i te konae /var/log/cspvpngate.log. Kei roto i te tuhinga he rarangi katoa o nga konae rangitaki me te whakamaarama o o raatau ihirangi.
Te aroturuki i te "hauora" o te punaha
Ka whakamahia e te S-Terra CC te daemon snmpd paerewa mo te aroturuki. I tua atu i nga tawhā Linux angamaheni, kei roto i te pouaka ka tautoko a S-Terra ki te tuku raraunga mo nga IPSec tunnels i runga i te CISCO-IPSEC-FLOW-MONITOR-MIB, koinei te mea e whakamahia ana e matou i te wa e aroturuki ana i te mana o nga IPSec tunnels. Kei te tautokohia nga mahi o nga OID ritenga e whakaputa ana i nga hua o te mahi tuhinga hei uara. Ma tenei ahuatanga ka taea e maatau te whai i nga ra paunga tiwhikete. Ka poroporoaki te tuhinga tuhi i te putanga whakahau cert_mgr whakaatu a, ko te mutunga ka hoatu te maha o nga ra kia pau nga tiwhikete o te rohe me te pakiaka. He mea nui tenei tikanga i te wa e whakahaere ana i te maha o nga CABG.
He aha te painga o taua whakamunatanga?
Ko nga mahi katoa e whakaahuatia ana i runga ake nei ka tautokohia mai i te pouaka e te S-Terra KSh. Arā, kaore he take ki te whakauru i etahi atu waahanga ka pa ki te tiwhikete o nga huarahi crypto me te tiwhikete o te punaha korero katoa. Ka taea he hongere i waenga i nga waahi, ahakoa ma te Ipurangi.
Na te mea ka huri nga hanganga o roto, kaore he take ki te whakahou i nga kuaha crypto, mahi te punaha hei ratonga, he mea tino watea mo te kaihoko: ka taea e ia te whakanoho i ana ratonga (kiritaki me te kaimau) ki nga wahitau katoa, a ko nga huringa katoa ka whakawhitia i waenga i nga taputapu whakamunatanga.
Ko te tikanga, ko te whakamunatanga na te utu o runga (i runga ake) ka pa ki te tere whakawhiti raraunga, engari he paku noa iho - ka taea te heke o te hongere ki te 5-10%. I te wa ano, kua whakamatauria te hangarau me te whakaatu i nga hua pai ahakoa i runga i nga awa peerangi, he tino koretake me te iti o te bandwidth.
Igor Vinokhodov, he miihini o te rarangi tuarua o te whakahaerenga o Rostelecom-Solar
Source: will.com