အကယ်၍ သင့်ကုမ္ပဏီသည် ဥပဒေနှင့်အညီ ကိုယ်ရေးကိုယ်တာအချက်အလက်များနှင့် အခြားလျှို့ဝှက်အချက်အလက်များကို ကွန်ရက်မှတစ်ဆင့် ပေးပို့ခြင်း သို့မဟုတ် လက်ခံရရှိပါက၊ GOST ကုဒ်ဝှက်စနစ်ကို အသုံးပြုရန် လိုအပ်ပါသည်။ ယနေ့တွင် သုံးစွဲသူများထဲမှ S-Terra crypto gateway (CS) ကို အခြေခံ၍ ထိုသို့သော စာဝှက်စနစ်ကို အကောင်အထည်ဖော်ပုံကို ပြောပြပါမည်။ ဤဇာတ်လမ်းသည် သတင်းအချက်အလက် လုံခြုံရေး အထူးကျွမ်းကျင်သူများ၊ အင်ဂျင်နီယာများ၊ ဒီဇိုင်နာများနှင့် ဗိသုကာပညာရှင်များကို စိတ်ဝင်စားစေမည်ဖြစ်သည်။ ကျွန်ုပ်တို့သည် ဤပို့စ်တွင် နည်းပညာပိုင်းဆိုင်ရာဖွဲ့စည်းပုံပုံစံ၏ ကွဲပြားချက်များကို နက်နက်ရှိုင်းရှိုင်း နက်နက်ရှိုင်းရှိုင်း စေ့စေ့စပ်စပ်တွေးမည်မဟုတ်ပါ၊ အခြေခံတည်ဆောက်မှု၏ အဓိကအချက်များကို ကျွန်ုပ်တို့အာရုံစိုက်ပါမည်။ S-Terra CS ကိုအခြေခံသည့် Linux OS daemons ကိုသတ်မှတ်ခြင်းဆိုင်ရာစာရွက်စာတမ်းအမြောက်အမြားကိုအင်တာနက်ပေါ်တွင်အခမဲ့ရရှိနိုင်သည်။ တစ်ဦးတည်းပိုင် S-Terra ဆော့ဖ်ဝဲကို သတ်မှတ်ခြင်းအတွက် စာရွက်စာတမ်းများကို လူသိရှင်ကြား ရနိုင်သည်။ ထုတ်လုပ်သူ။
ပရောဂျက်နှင့်ပတ်သက်သော စကားအနည်းငယ်
ဖောက်သည်၏ကွန်ရက် topology သည် စံဖြစ်သည် - ဗဟိုနှင့် အကိုင်းအခက်များကြားရှိ ကွက်ကွက်အပြည့်အစုံ။ ဝဘ်ဆိုက်အားလုံးကြားတွင် သတင်းအချက်အလက်ဖလှယ်ရေးလမ်းကြောင်းများ၏ ကုဒ်ကုဒ်လုပ်ခြင်းကို မိတ်ဆက်ရန် လိုအပ်ပြီး ၎င်းတို့အနက်မှ ၈ ခုရှိသည်။
များသောအားဖြင့် ထိုကဲ့သို့သောပရောဂျက်များတွင် အရာအားလုံးသည် တည်ငြိမ်သည်- ဆိုက်၏ဒေသခံကွန်ရက်သို့ တည်ငြိမ်သောလမ်းကြောင်းများကို crypto gateways (CGs) တွင်သတ်မှတ်ထားပြီး၊ ကုဒ်ဝှက်ခြင်းအတွက် IP လိပ်စာများစာရင်း (ACLs) စာရင်းများကို မှတ်ပုံတင်ထားသည်။ သို့သော်လည်း ဤကိစ္စတွင်၊ ဝဘ်ဆိုက်များတွင် ဗဟိုချုပ်ကိုင်မှု စီမံခန့်ခွဲခြင်း မရှိသည့်အပြင် ၎င်းတို့၏ ဒေသဆိုင်ရာ ကွန်ရက်များအတွင်း ဘာမဆို ဖြစ်သွားနိုင်သည်- ကွန်ရက်များကို ထည့်သွင်းနိုင်၊ ဖျက်ပစ်နိုင်ပြီး ဖြစ်နိုင်သမျှ နည်းမျိုးစုံဖြင့် ပြင်ဆင်နိုင်သည်။ ဆိုက်များရှိ ဒေသဆိုင်ရာ ကွန်ရက်များ၏ လိပ်စာများကို ပြောင်းလဲသည့်အခါ KS ပေါ်ရှိ လမ်းကြောင်းနှင့် ACL ကို ပြန်လည်ပြင်ဆင်ခြင်းတို့ကို ရှောင်ရှားရန်အတွက်၊ ၎င်းသည် ဆိုက်များရှိ KS နှင့် ကွန်ရက် core အဆင့်ရှိ router အများစုပါဝင်သော GRE tunneling နှင့် OSPF dynamic routing ကို အသုံးပြုရန် ဆုံးဖြတ်ခဲ့သည် ( အချို့သောဆိုက်များတွင်၊ အခြေခံအဆောက်အဦစီမံခန့်ခွဲသူများသည် kernel routers များပေါ်ရှိ KS သို့ SNAT ကိုအသုံးပြုရန် နှစ်သက်သည်)။
GRE ဥမင်လှိုဏ်ခေါင်းတူးခြင်းသည် ပြဿနာနှစ်ခုကို ဖြေရှင်းနိုင်စေသည်-
1. ACL တွင် ကုဒ်ဝှက်ခြင်းအတွက် CS ၏ ပြင်ပအင်တာဖေ့စ်၏ IP လိပ်စာကို အသုံးပြုပါ၊၊ ၎င်းသည် အခြားဆိုက်များသို့ ပေးပို့သည့် အသွားအလာအားလုံးကို ဖုံးအုပ်ထားသည်။
2. Dynamic routing ကို စီစဉ်သတ်မှတ်နိုင်စေသည့် CSs များကြားတွင် ptp ဥမင်များကို စုစည်းပါ (ကျွန်ုပ်တို့၏ အခြေအနေတွင်၊ ဝန်ဆောင်မှုပေးသူ၏ MPLS L3VPN ကို ဆိုက်များကြားတွင် စုစည်းထားသည်)။
ဖောက်သည်သည် ဝန်ဆောင်မှုတစ်ခုအနေဖြင့် ကုဒ်ဝှက်ခြင်းကို အကောင်အထည်ဖော်ရန် အမိန့်ပေးခဲ့သည်။ မဟုတ်ပါက၊ သူသည် crypto gateway များကိုထိန်းသိမ်းထားရန် သို့မဟုတ် ၎င်းတို့အား အဖွဲ့အစည်းအချို့ထံ outsource ပေးရုံသာမက၊ ကုဒ်ဝှက်လက်မှတ်များ၏ဘဝစက်ဝန်းကိုလည်း လွတ်လပ်စွာစောင့်ကြည့်ခြင်း၊ ၎င်းတို့အား အချိန်မီ သက်တမ်းတိုးရန်နှင့် အသစ်များကို ထည့်သွင်းရမည်။
ယခုတော့ တကယ့်မှတ်စုတို - ကျွန်ုပ်တို့ ဘယ်လိုပြင်ဆင်ထားလဲ။
CII ဘာသာရပ်ကို သတိပြုရန်- crypto gateway တစ်ခုကို တည်ဆောက်ခြင်း။
အခြေခံကွန်ရက်စနစ်ထည့်သွင်းခြင်း။
ပထမဦးစွာ၊ ကျွန်ုပ်တို့သည် CS အသစ်တစ်ခုကို စတင်ပြီး စီမံခန့်ခွဲရေး ကွန်ဆိုးလ်သို့ ဝင်ရောက်ပါ။ built-in administrator စကားဝှက် - အမိန့်ကိုပြောင်းလဲခြင်းဖြင့်သင်စတင်သင့်သည်။ အသုံးပြုသူ စကားဝှက် စီမံခန့်ခွဲသူကို ပြောင်းပါ။. ထို့နောက်တွင် သင်သည် ကနဦးလုပ်ထုံးလုပ်နည်းကို လုပ်ဆောင်ရန် လိုအပ်သည် (အမိန့်ပေးသည်။ စတငျ) လိုင်စင်ဒေတာကို ထည့်သွင်းစဉ်အတွင်း ကျပန်းနံပါတ်အာရုံခံကိရိယာ (RNS) ကို စတင်လုပ်ဆောင်သည်။
အာရုံစိုက်! S-Terra CC ကို စတင်သောအခါ၊ လုံခြုံရေး ဂိတ်ဝေး အင်တာဖေ့စ်များသည် ပက်ကတ်များကို ဖြတ်သန်းခွင့်မပြုသည့် လုံခြုံရေးမူဝါဒကို ချမှတ်ထားသည်။ သင့်ကိုယ်ပိုင်မူဝါဒကို ဖန်တီးရမည် သို့မဟုတ် အမိန့်ကို အသုံးပြုရမည်။ csconf_mgr ကို activate လုပ်ပါ။ ကြိုတင်သတ်မှတ်ထားသော ခွင့်ပြုမူဝါဒကို အသက်သွင်းပါ။
ထို့နောက်၊ သင်သည် ပြင်ပနှင့် အတွင်းပိုင်း အင်တာဖေ့စ်များ၏ လိပ်စာဖော်ပြခြင်းအပြင် ပုံသေလမ်းကြောင်းကို သတ်မှတ်ရန် လိုအပ်သည်။ CS network configuration နှင့် Cisco-like console မှတဆင့် encryption ကို configure လုပ်ခြင်းက ပိုကောင်းပါတယ်။ ဤကွန်ဆိုးလ်သည် Cisco IOS ညွှန်ကြားချက်များနှင့် ဆင်တူသည့် ညွှန်ကြားချက်များကို ထည့်သွင်းရန် ဒီဇိုင်းထုတ်ထားသည်။ Cisco-like console ကိုအသုံးပြု၍ ထုတ်လုပ်ထားသော configuration သည် OS daemons အလုပ်လုပ်သည့် သက်ဆိုင်ရာ configuration files များအဖြစ်သို့ ပြောင်းလဲသွားပါသည်။ အမိန့်ဖြင့် အုပ်ချုပ်မှုကွန်ဆိုးလ်မှ Cisco-like console သို့ သင်သွားနိုင်သည်။ configuration.
built-in အသုံးပြုသူ cscons အတွက် စကားဝှက်များကို ပြောင်းလဲပြီး ဖွင့်ပါ-
> ဖွင့်ပါ။
စကားဝှက်- csp (ကြိုတင်ထည့်သွင်းထားသည်)
# terminal ကိုပြင်ဆင်ပါ။
#username cscons အခွင့်ထူးခံ 15 လျှို့ဝှက် 0 #လျှို့ဝှက်ချက်ကို ဖွင့်ရန် 0 အခြေခံ ကွန်ရက်ဖွဲ့စည်းပုံကို စနစ်ထည့်သွင်းခြင်း-
#interface GigabitEthernet0/0
#ip လိပ်စာ 10.111.21.3 255.255.255.0
#မပိတ်ပါ။
#interface GigabitEthernet0/1
#ip လိပ်စာ 192.168.2.5 255.255.255.252
#မပိတ်ပါ။
#ip လမ်းကြောင်း 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Cisco-like console မှထွက်ပြီး debian shell သို့ command ဖြင့်သွားပါ။ စံနစ်. အသုံးပြုသူအတွက် သင့်ကိုယ်ပိုင်စကားဝှက်ကို သတ်မှတ်ပါ။ အမြစ် အသင်းအဖွဲ့ passwd.
ထိန်းချုပ်ခန်းတစ်ခုစီတွင်၊ ဝဘ်ဆိုက်တစ်ခုစီအတွက် သီးခြားဥမင်လိုဏ်ခေါင်းတစ်ခုကို စီစဉ်သတ်မှတ်ထားသည်။ ဥမင်လိုဏ်ခေါင်း အင်တာဖေ့စ်ကို ဖိုင်တွင် ပြင်ဆင်သတ်မှတ်ထားသည်။ / etc / network / interfaces. ကြိုတင်ထည့်သွင်းထားသော iproute2 set တွင်ပါရှိသော IP tunnel utility သည် အင်တာဖေ့စ်ကိုယ်တိုင်ဖန်တီးရန် တာဝန်ရှိပါသည်။ အင်တာဖေ့စ်ဖန်တီးမှုအမိန့်ကို ကြိုတင်ပြင်ဆင်မှုတွင် ထည့်သွင်းထားသည်။
သာမာန် ဥမင်အင်တာဖေ့စ်၏ နမူနာပုံစံဖွဲ့စည်းပုံ-
အော်တိုဆိုက် ၁
iface site1 inet static
192.168.1.4 လိပ်စာ
netmask 255.255.255.254
pre-up ip tunnel add site1 မုဒ် gre ဒေသဆိုင်ရာ 10.111.21.3 အဝေးထိန်း 10.111.22.3 သော့ hfLYEg^vCh6p
အာရုံစိုက်! ဥမင်အင်တာဖေ့စ်များအတွက် ဆက်တင်များသည် ကဏ္ဍအပြင်ဘက်တွင် ရှိနေရမည်ကို သတိပြုသင့်သည်။
###netifcfg-စတင်###
*****
###netifcfg-အဆုံး###
သို့မဟုတ်ပါက Cisco ကဲ့သို့သော ကွန်ဆိုးလ်တစ်ခုမှတစ်ဆင့် ကွန်ရက်ဆက်တင်များ၏ ရုပ်ပိုင်းဆိုင်ရာအင်တာဖေ့စ်များ၏ ဆက်တင်များကို ပြောင်းလဲသောအခါတွင် ဤဆက်တင်များကို ထပ်ရေးပါမည်။
ဒိုင်းနမစ်လမ်းကြောင်း
S-Terra တွင်၊ Quagga ဆော့ဖ်ဝဲလ်ပက်ကေ့ချ်ကို အသုံးပြု၍ ရွေ့လျားလမ်းကြောင်းပြခြင်းကို လုပ်ဆောင်သည်။ OSPF ကို configure ရန်အတွက် daemons ကို enable လုပ်ပြီး configure လုပ်ရန်လိုအပ်ပါသည်။ မြင်းကျား и ospfd. zebra daemon သည် routing daemons နှင့် OS အကြား ဆက်သွယ်မှုအတွက် တာဝန်ရှိသည်။ အမည်ဖော်ပြသည့်အတိုင်း ospfd daemon သည် OSPF ပရိုတိုကောကို အကောင်အထည်ဖော်ရန် တာဝန်ရှိသည်။
OSPF ကို daemon console မှတဆင့်ဖြစ်စေ သို့မဟုတ် configuration file မှတဆင့် တိုက်ရိုက် configure လုပ်ထားသည်။ /etc/quagga/ospfd.conf. ရွေ့လျားလမ်းကြောင်းပြောင်းခြင်းတွင် ပါ၀င်သော ရုပ်ပိုင်းဆိုင်ရာနှင့် ဥမင်လိုဏ်ခေါင်း အင်တာဖေ့စ်အားလုံးကို ဖိုင်သို့ ပေါင်းထည့်ထားပြီး ကြော်ငြာနှင့် ကြေငြာချက်များကို လက်ခံရရှိမည့် ကွန်ရက်များကိုလည်း ကြေညာထားသည်။
ထည့်သွင်းရန် လိုအပ်သော ဖွဲ့စည်းမှုပုံစံ နမူနာတစ်ခု ospfd.conf:
အင်တာဖေ့စ် eth0
!
အင်တာဖေ့စ် eth1
!
အင်တာဖေ့စ်ဆိုဒ် ၁
!
အင်တာဖေ့စ်ဆိုဒ် ၁
router ospf
ospf router-id 192.168.2.21
ကွန်ရက် 192.168.1.4/31 ဧရိယာ 0.0.0.0
ကွန်ရက် 192.168.1.16/31 ဧရိယာ 0.0.0.0
ကွန်ရက် 192.168.2.4/30 ဧရိယာ 0.0.0.0
ဤကိစ္စတွင်၊ လိပ်စာ 192.168.1.x/31 ကို ဆိုက်များကြားရှိ ဥမင်လိုဏ်ခေါင်း ptp ကွန်ရက်များအတွက် သီးသန့်ထားသည်၊ လိပ်စာ 192.168.2.x/30 ကို CS နှင့် kernel ရောက်တာများကြားရှိ ဖြတ်သန်းကွန်ရက်များအတွက် ခွဲဝေပေးပါသည်။
အာရုံစိုက်! ကြီးမားသော တပ်ဆင်မှုများတွင် လမ်းကြောင်းပြဇယားကို လျှော့ချရန်အတွက် တည်ဆောက်မှုများကို အသုံးပြု၍ အကူးအပြောင်းကွန်ရက်များ၏ ကြေညာချက်ကို ၎င်းတို့ကိုယ်တိုင် စစ်ထုတ်နိုင်ပါသည်။ ပြန်လည်ဖြန့်ဝေခြင်းမရှိပါ။ သို့မဟုတ် ချိတ်ဆက်ထားသော လမ်းကြောင်းမြေပုံကို ပြန်လည်ဖြန့်ဝေပါ။.
daemons ကို configure ပြီးနောက်၊ သင်သည် daemons ၏ startup status ကိုပြောင်းလဲရန်လိုအပ်သည်။ /etc/quagga/daemons. ရွေးချယ်မှုများတွင် မြင်းကျား и ospfd ဟုတ်ကဲ့ မပြောင်းပါဘူး။ KS အမိန့်ကိုစတင်သောအခါ quagga daemon ကိုစတင်ပြီး autorun ဟုသတ်မှတ်ပါ။ update-rc.d quagga ကိုဖွင့်ပါ။.
GRE ဥမင်လိုဏ်ခေါင်းများနှင့် OSPF ၏ဖွဲ့စည်းပုံများကို မှန်ကန်စွာလုပ်ဆောင်ပါက၊ အခြားဆိုက်များ၏ကွန်ရက်အတွင်းရှိလမ်းကြောင်းများသည် KSh နှင့် core routers များပေါ်တွင်ပေါ်လာမည်ဖြစ်ပြီး၊ ထို့ကြောင့်၊ ဒေသဆိုင်ရာကွန်ရက်များကြားတွင် ကွန်ရက်ချိတ်ဆက်မှုဖြစ်ပေါ်လာပါသည်။
ကျွန်ုပ်တို့သည် ကူးစက်လမ်းကြောင်းများကို စာဝှက်ထားသည်။
ရေးပြီးသားအတိုင်း၊ ပုံမှန်အားဖြင့် ဆိုက်များအကြား ကုဒ်ရေးသည့်အခါ၊ လမ်းကြောင်းများကြားတွင် ကုဒ်ဝှက်ထားသော IP လိပ်စာအပိုင်းအခြားများ (ACLs) ကို သတ်မှတ်ပေးသည်- အရင်းအမြစ်နှင့် ဦးတည်ရာလိပ်စာများသည် ဤဘောင်များအတွင်းတွင် ကျရောက်ပါက ၎င်းတို့ကြားရှိ လမ်းကြောင်းများကို ကုဒ်ဝှက်ထားသည်။ သို့သော် ဤပရောဂျက်တွင် ဖွဲ့စည်းပုံသည် ပြောင်းလဲနေပြီး လိပ်စာများ ပြောင်းလဲနိုင်သည်။ ကျွန်ုပ်တို့သည် GRE ဥမင်လိုဏ်ခေါင်းကို ပြင်ဆင်သတ်မှတ်ထားပြီးဖြစ်သောကြောင့်၊ ပြင်ပ KS လိပ်စာများကို ကုဒ်ဝှက်ခြင်းအတွက် လမ်းကြောင်းနှင့် ဦးတည်ရာလိပ်စာများအဖြစ် ပြင်ပ KS လိပ်စာများကို သတ်မှတ်နိုင်သည် - ထို့နောက်တွင်၊ GRE ပရိုတိုကောမှ ဖုံးအုပ်ထားပြီးဖြစ်သော လမ်းကြောင်းသည် ကုဒ်ဝှက်ခြင်းအတွက် ရောက်ရှိလာပါသည်။ တစ်နည်းဆိုရသော်၊ အခြားဆိုက်များမှ ကြေငြာထားသော ကွန်ရက်များဆီသို့ ဆိုက်တစ်ခု၏ ဒေသတွင်း ကွန်ရက်မှ CS သို့ ဝင်ရောက်သည့် အရာအားလုံးကို ကုဒ်ဝှက်ထားသည်။ ဆိုက်တစ်ခုစီတွင် မည်သည့် redirection ကိုမဆို လုပ်ဆောင်နိုင်သည်။ ထို့ကြောင့်၊ ဒေသတွင်း ကွန်ရက်များတွင် အပြောင်းအလဲ တစ်စုံတစ်ရာ ရှိလာပါက၊ စီမံခန့်ခွဲသူသည် ကွန်ရက်ဆီသို့ ၎င်း၏ ကွန်ရက်မှလာသော ကြေငြာချက်များကို ပြုပြင်မွမ်းမံရန်သာ လိုအပ်ပြီး ၎င်းကို အခြားဆိုက်များတွင် ရရှိလာမည်ဖြစ်သည်။
S-Terra CS တွင် ကုဒ်ဝှက်ခြင်းကို IPSec ပရိုတိုကောကို အသုံးပြု၍ လုပ်ဆောင်သည်။ ကျွန်ုပ်တို့သည် GOST R 34.12-2015 အရ "Grassshopper" algorithm ကိုအသုံးပြုပြီး ဗားရှင်းအဟောင်းများနှင့် လိုက်ဖက်မှုရှိစေရန် GOST 28147-89 ကို အသုံးပြုနိုင်ပါသည်။ ကြိုတင်သတ်မှတ်ထားသောသော့များ (PSK) နှင့် လက်မှတ်များ နှစ်ခုစလုံးတွင် စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းကို နည်းပညာအရ လုပ်ဆောင်နိုင်သည်။ သို့သော်လည်း စက်မှုလုပ်ငန်းလည်ပတ်ရာတွင် GOST R 34.10-2012 အရ ထုတ်ပေးထားသော လက်မှတ်များကို အသုံးပြုရန် လိုအပ်ပါသည်။
လက်မှတ်များ၊ ကွန်တိန်နာများနှင့် CRLs များနှင့်အတူအလုပ်လုပ်ခြင်းကို utility ကိုအသုံးပြုပြီးလုပ်ဆောင်သည်။ cert_mgr. ပထမဆုံးအနေနဲ့ command ကိုအသုံးပြုပါ။ cert_mgr ဖန်တီးပါ။ လက်မှတ်စီမံခန့်ခွဲမှုစင်တာသို့ ပေးပို့မည့် သီးသန့်သော့ကွန်တိန်နာနှင့် လက်မှတ်တောင်းဆိုချက်တစ်ခုကို ထုတ်ပေးရန် လိုအပ်ပါသည်။ လက်မှတ်ကို လက်ခံရရှိပြီးနောက်၊ ၎င်းကို root CA လက်မှတ်နှင့် CRL (အသုံးပြုလျှင်) အမိန့်ဖြင့် ထည့်သွင်းရပါမည်။ cert_mgr တင်သွင်းခြင်း။. လက်မှတ်များနှင့် CRL အားလုံးကို command ဖြင့် ထည့်သွင်းထားကြောင်း သေချာစေနိုင်ပါသည်။ cert_mgr ရှိုး.
လက်မှတ်များကို အောင်မြင်စွာ ထည့်သွင်းပြီးနောက်၊ IPSec ကို configure လုပ်ရန် Cisco-like console သို့ သွားပါ။
ကျွန်ုပ်တို့သည် ဖန်တီးထားသော လုံခြုံသောချန်နယ်၏ လိုချင်သော အယ်လဂိုရီသမ်များနှင့် ကန့်သတ်ချက်များကို သတ်မှတ်ပေးသည့် IKE မူဝါဒကို ဖန်တီးပြီး ခွင့်ပြုချက်အတွက် ပါတနာအား ကမ်းလှမ်းမည်ဖြစ်သည်။
#crypto isakmp မူဝါဒ 1000
#encr gost341215k
#hash gost341112-512-tc26
#စစ်မှန်ကြောင်းအထောက်အထား
#အုပ်စု vko2
#တစ်သက်တာ ၃၆၀၀
IPSec ပထမအဆင့်ကို တည်ဆောက်သည့်အခါ ဤမူဝါဒကို ကျင့်သုံးပါသည်။ ပထမအဆင့် အောင်မြင်စွာ ပြီးမြောက်ခြင်း၏ ရလဒ်မှာ SA (လုံခြုံရေးအသင်း) ကို တည်ထောင်ခဲ့သည်။
ထို့နောက်၊ ကျွန်ုပ်တို့သည် ကုဒ်ဝှက်ခြင်းအတွက် ရင်းမြစ်နှင့် ဦးတည်ရာ IP လိပ်စာများ (ACL) စာရင်းကို သတ်မှတ်သတ်မှတ်ရန်၊ အသွင်ပြောင်းမှုအစုံကို ဖန်တီးရန်၊ ကုဒ်ဝှက်မြေပုံ (crypto map) ဖန်တီးပြီး CS ၏ ပြင်ပမျက်နှာပြင်သို့ ပေါင်းစည်းရန် လိုအပ်ပါသည်။
ACL သတ်မှတ်ရန်-
#ip ဝင်ရောက်ခွင့်စာရင်း တိုးချဲ့ဆိုက်၁
#permit gre host 10.111.21.3 host 10.111.22.3
အသွင်ပြောင်းမှုအစုတစ်ခု (ပထမအဆင့်ကဲ့သို့ပင်၊ ကျွန်ုပ်တို့သည် သရုပ်ဖော်ထည့်သွင်းမှုမျိုးဆက်မုဒ်ကို အသုံးပြု၍ "Grasshopper" ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်ကို အသုံးပြုသည်)
#crypto ipsec transform-set GOST esp-gost341215k-mac
ကျွန်ုပ်တို့သည် crypto မြေပုံကိုဖန်တီးသည်၊ ACL ကိုသတ်မှတ်ပါ၊ သတ်မှတ်ပုံစံပြောင်းခြင်းနှင့်သက်တူရွယ်တူလိပ်စာကိုဖန်တီးသည်-
#crypto မြေပုံ MAIN 100 ipsec-isakmp
#လိပ်စာဆိုဒ် ၁
#set transform-set GOST
#set peer 10.111.22.3
ကျွန်ုပ်တို့သည် ငွေသားစာရင်း၏ ပြင်ပမျက်နှာပြင်တွင် crypto ကတ်ကို ချိတ်တွဲထားသည်-
#interface GigabitEthernet0/0
#ip လိပ်စာ 10.111.21.3 255.255.255.0
#crypto မြေပုံ MAIN
အခြားဝဘ်ဆိုက်များနှင့် ချန်နယ်များကို စာဝှက်ရန်၊ ACL အမည်၊ IP လိပ်စာများနှင့် crypto ကတ်နံပါတ်တို့ကို ပြောင်းလဲခြင်း၊ ACL နှင့် crypto ကတ်ဖန်တီးခြင်းဆိုင်ရာ လုပ်ထုံးလုပ်နည်းကို ထပ်လုပ်ရပါမည်။
အာရုံစိုက်! CRL မှ အသိအမှတ်ပြု လက်မှတ်ကို အသုံးမပြုပါက၊ ၎င်းကို အတိအလင်း သတ်မှတ်ရပါမည်-
#crypto pki trustpoint s-terra_technological_trustpoint
#ပြန်လည်ရုတ်သိမ်းခြင်း-စစ်ဆေးခြင်းမရှိပါ။
ဤအချိန်တွင်၊ စနစ်ထည့်သွင်းမှု ပြီးပြည့်စုံသည်ဟု ယူဆနိုင်သည်။ Cisco-like console command output တွင် crypto isakmp sa ကိုပြသပါ။ и crypto ipsec sa ကိုပြပါ။ IPSec ၏ ပထမနှင့် ဒုတိယအဆင့်များကို ရောင်ပြန်ဟပ်သင့်သည်။ တူညီသောအချက်အလက်များကို command ကို အသုံးပြု၍ ရယူနိုင်သည်။ sa_mgr ရှိုးdebian shell မှ ကွပ်မျက်သည်။ command output တွင်၊ cert_mgr ရှိုး အဝေးမှဆိုက်လက်မှတ်များ ပေါ်လာသင့်သည်။ ထိုသို့သော လက်မှတ်များ၏ အနေအထားသည် ဖြစ်လိမ့်မည်။ ဝေးလံသော. ဥမင်များကို မတည်ဆောက်ပါက၊ ဖိုင်တွင်သိမ်းဆည်းထားသည့် VPN ဝန်ဆောင်မှုမှတ်တမ်းကို ကြည့်ရှုရန် လိုအပ်သည်။ /var/log/cspvpngate.log. ၎င်းတို့၏ အကြောင်းအရာဖော်ပြချက်ပါရှိသော မှတ်တမ်းဖိုင်များ၏ စာရင်းအပြည့်အစုံကို စာရွက်စာတမ်းတွင် ရနိုင်ပါသည်။
စနစ်၏ "ကျန်းမာရေး" ကိုစောင့်ကြည့်
S-Terra CC သည် စောင့်ကြည့်ရန်အတွက် စံ snmpd daemon ကို အသုံးပြုသည်။ ပုံမှန် Linux ကန့်သတ်ဘောင်များအပြင်၊ S-Terra သည် IPSec ဥမင်လိုဏ်ခေါင်းများအကြောင်း CISCO-IPSEC-FLOW-MONITOR-MIB နှင့်အညီ IPSec ဥမင်လိုဏ်ခေါင်းများအကြောင်း ဒေတာထုတ်ပေးခြင်းကို ပံ့ပိုးပေးပါသည်။ တန်ဖိုးများအဖြစ် script execution ရလဒ်များကိုထုတ်ပေးသည့် စိတ်ကြိုက် OID များ၏ လုပ်ဆောင်နိုင်စွမ်းကိုလည်း ပံ့ပိုးထားသည်။ ဤလုပ်ဆောင်ချက်သည် ကျွန်ုပ်တို့အား လက်မှတ်သက်တမ်းကုန်ဆုံးရက်များကို ခြေရာခံနိုင်စေပါသည်။ ရေးထားသော script သည် command output ကို ပိုင်းခြားသည်။ cert_mgr ရှိုး ရလဒ်အနေဖြင့် local နှင့် root လက်မှတ်များ သက်တမ်းကုန်သည်အထိ ရက်အရေအတွက်ကို ပေးသည်။ CABGs အများအပြားကို စီမံခန့်ခွဲရာတွင် ဤနည်းပညာသည် မရှိမဖြစ်လိုအပ်ပါသည်။
ထိုသို့သော ကုဒ်ဝှက်ခြင်း၏ အကျိုးကျေးဇူးကား အဘယ်နည်း။
အထက်ဖော်ပြပါ လုပ်ဆောင်နိုင်စွမ်းအားလုံးကို S-Terra KSh မှ ပံ့ပိုးပေးပါသည်။ ဆိုလိုသည်မှာ၊ crypto gateways များ၏ certification နှင့် information system တစ်ခုလုံး၏ certification ကို ထိခိုက်စေနိုင်သော နောက်ထပ် module များ ထည့်သွင်းရန် မလိုအပ်ပါ။ အင်တာနက်မှတဆင့်ပင် ဆိုက်များအကြား ချန်နယ်များ ရှိနိုင်သည်။
အတွင်းပိုင်းအခြေခံအဆောက်အအုံများပြောင်းလဲသောအခါတွင် crypto gateway များကိုပြန်လည်ပြင်ဆင်ရန်မလိုအပ်သောကြောင့်၊ စနစ်သည် ဝန်ဆောင်မှုတစ်ခုအဖြစ် လုပ်ဆောင်သည်။ဖောက်သည်အတွက် အလွန်အဆင်ပြေသည်- သူသည် မည်သည့်လိပ်စာများတွင်မဆို ၎င်း၏ဝန်ဆောင်မှုများ (ဖောက်သည်နှင့် ဆာဗာ) ကို နေရာချနိုင်ပြီး ပြောင်းလဲမှုအားလုံးကို ကုဒ်ဝှက်ပစ္စည်းကိရိယာများကြားတွင် ဒိုင်းနမစ်ဖြင့် လွှဲပြောင်းပေးမည်ဖြစ်သည်။
ဟုတ်ပါတယ်၊ ကုန်ကျစရိတ်များ (overhead) ကြောင့် ကုဒ်ကုဒ်လုပ်ခြင်းသည် ဒေတာလွှဲပြောင်းမှုအမြန်နှုန်းကို သက်ရောက်မှုရှိသော်လည်း အနည်းငယ်သာ - ချန်နယ်ဖြတ်သန်းမှုသည် အများဆုံး 5-10% အထိ လျော့ကျသွားနိုင်သည်။ တစ်ချိန်တည်းမှာပင်၊ နည်းပညာကို စမ်းသပ်ပြီး လှိုင်းနှုန်းနည်းသော ဂြိုလ်တုလိုင်းများပေါ်တွင်ပင် ရလဒ်ကောင်းများကို ပြသထားသည်။
Rostelecom-Solar ၏ဒုတိယအုပ်ချုပ်မှုလိုင်း၏အင်ဂျင်နီယာ Igor Vinokhodov
source: www.habr.com