á¡áááºá ááá·áºáá¯áá¹ááá®ááẠá¥ááá±ááŸáá·áºá¡áá® ááá¯ááºáá±ážááá¯ááºáá¬á¡áá»ááºá¡áááºáá»á¬ážááŸáá·áº á¡ááŒá¬ážáá»áŸáá¯á·ááŸááºá¡áá»ááºá¡áááºáá»á¬ážááᯠááœááºáááºááŸáá
áºááá·áº áá±ážááá¯á·ááŒááºáž ááá¯á·ááá¯áẠáááºáá¶áááŸááá«áá GOST áá¯ááºááŸááºá
áá
áºááᯠá¡áá¯á¶ážááŒá¯ááẠááá¯á¡ááºáá«áááºá ááá±á·ááœáẠáá¯á¶ážá
áœá²áá°áá»á¬ážáá²á០S-Terra crypto gateway (CS) ááᯠá¡ááŒá±áá¶á ááá¯ááá¯á·áá±á¬ á
á¬ááŸááºá
áá
áºááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºáá¯á¶ááᯠááŒá±á¬ááŒáá«áááºá á€áá¬ááºáááºážááẠááááºážá¡áá»ááºá¡ááẠáá¯á¶ááŒá¯á¶áá±áž á¡áá°ážáá»áœááºážáá»ááºáá°áá»á¬ážá á¡ááºáá»ááºáá®áá¬áá»á¬ážá áá®ááá¯ááºáá¬áá»á¬ážááŸáá·áº áááá¯áá¬ááá¬ááŸááºáá»á¬ážááᯠá
áááºáááºá
á¬ážá
á±áááºááŒá
áºáááºá áá»áœááºá¯ááºááá¯á·ááẠá€ááá¯á·á
áºááœáẠáááºážááá¬ááá¯ááºážááá¯ááºáá¬ááœá²á·á
ááºážáá¯á¶áá¯á¶á
á¶á ááœá²ááŒá¬ážáá»ááºáá»á¬ážááᯠáááºáááºááŸáá¯ááºážááŸáá¯ááºáž áááºáááºááŸáá¯ááºážááŸáá¯ááºáž á
á±á·á
á±á·á
ááºá
ááºááœá±ážáááºááá¯ááºáá«á á¡ááŒá±áá¶áááºáá±á¬ááºááŸá¯á á¡áááá¡áá»ááºáá»á¬ážááᯠáá»áœááºá¯ááºááá¯á·á¡á¬áá¯á¶á
áá¯ááºáá«áááºá S-Terra CS ááá¯á¡ááŒá±áá¶ááá·áº Linux OS daemons ááá¯áááºááŸááºááŒááºážááá¯ááºáá¬á
á¬ááœááºá
á¬áááºážá¡ááŒá±á¬ááºá¡ááŒá¬ážááá¯á¡ááºáá¬áááºáá±á«áºááœááºá¡ááá²á·áááŸáááá¯ááºáááºá áá
áºáŠážáááºážááá¯áẠS-Terra áá±á¬á·ááºáá²ááᯠáááºááŸááºááŒááºážá¡ááœáẠá
á¬ááœááºá
á¬áááºážáá»á¬ážááᯠáá°ááááŸááºááŒá¬áž áááá¯ááºáááºá
ááá±á¬áá»ááºááŸáá·áºáááºáááºáá±á¬ á áá¬ážá¡áááºážáááº
áá±á¬ááºáááºáááœááºááẠtopology ááẠá á¶ááŒá áºááẠ- áááá¯ááŸáá·áº á¡ááá¯ááºážá¡áááºáá»á¬ážááŒá¬ážááŸá ááœááºááœááºá¡ááŒáá·áºá¡á á¯á¶á áááºááá¯ááºá¡á¬ážáá¯á¶ážááŒá¬ážááœáẠááááºážá¡áá»ááºá¡áááºáááŸááºáá±ážáááºážááŒá±á¬ááºážáá»á¬ážá áá¯ááºáá¯ááºáá¯ááºááŒááºážááᯠááááºáááºááẠááá¯á¡ááºááŒá®áž áááºážááá¯á·á¡áááºá០á áá¯ááŸááááºá
áá»á¬ážáá±á¬á¡á¬ážááŒáá·áº ááá¯áá²á·ááá¯á·áá±á¬ááá±á¬áá»ááºáá»á¬ážááœáẠá¡áá¬á¡á¬ážáá¯á¶ážááẠáááºááŒáááºáááº- ááá¯ááºááá±ááá¶ááœááºáááºááá¯á· áááºááŒáááºáá±á¬áááºážááŒá±á¬ááºážáá»á¬ážááᯠcrypto gateways (CGs) ááœááºáááºááŸááºáá¬ážááŒá®ážá áá¯ááºááŸááºááŒááºážá¡ááœáẠIP ááááºá á¬áá»á¬ážá á¬áááºáž (ACLs) á á¬áááºážáá»á¬ážááᯠááŸááºáá¯á¶áááºáá¬ážáááºá ááá¯á·áá±á¬áºáááºáž á€ááá á¹á ááœááºá áááºááá¯ááºáá»á¬ážááœáẠáááá¯áá»á¯ááºááá¯ááºááŸá¯ á á®áá¶ááá·áºááœá²ááŒááºáž áááŸáááá·áºá¡ááŒáẠáááºážááá¯á·á áá±áááá¯ááºáᬠááœááºáááºáá»á¬ážá¡ááœááºáž áá¬áááᯠááŒá áºááœá¬ážááá¯ááºáááº- ááœááºáááºáá»á¬ážááᯠááá·áºááœááºážááá¯ááºá áá»ááºáá áºááá¯ááºááŒá®áž ááŒá áºááá¯ááºááá»áŸ áááºážáá»áá¯ážá á¯á¶ááŒáá·áº ááŒááºáááºááá¯ááºáááºá ááá¯ááºáá»á¬ážááŸá áá±áááá¯ááºáᬠááœááºáááºáá»á¬ážá ááááºá á¬áá»á¬ážááᯠááŒá±á¬ááºážáá²ááá·áºá¡áá« KS áá±á«áºááŸá áááºážááŒá±á¬ááºážááŸáá·áº ACL ááᯠááŒááºáááºááŒááºáááºááŒááºážááá¯á·ááᯠááŸá±á¬ááºááŸá¬ážáááºá¡ááœááºá áááºážááẠááá¯ááºáá»á¬ážááŸá KS ááŸáá·áº ááœááºááẠcore á¡ááá·áºááŸá router á¡áá»á¬ážá á¯áá«áááºáá±á¬ GRE tunneling ááŸáá·áº OSPF dynamic routing ááᯠá¡áá¯á¶ážááŒá¯ááẠáá¯á¶ážááŒááºáá²á·ááẠ( á¡áá»áá¯á·áá±á¬ááá¯ááºáá»á¬ážááœááºá á¡ááŒá±áá¶á¡áá±á¬ááºá¡áŠá á®áá¶ááá·áºááœá²áá°áá»á¬ážááẠkernel routers áá»á¬ážáá±á«áºááŸá KS ááá¯á· SNAT ááá¯á¡áá¯á¶ážááŒá¯ááẠááŸá áºáááºáááº)á
GRE á¥áááºááŸáá¯ááºáá±á«ááºážáá°ážááŒááºážááẠááŒá¿áá¬ááŸá
áºáá¯ááᯠááŒá±ááŸááºážááá¯ááºá
á±áááº-
1. ACL ááœáẠáá¯ááºááŸááºááŒááºážá¡ááœáẠCS á ááŒááºáá¡ááºáá¬áá±á·á
áºá IP ááááºá
á¬ááᯠá¡áá¯á¶ážááŒá¯áá«áá áááºážááẠá¡ááŒá¬ážááá¯ááºáá»á¬ážááá¯á· áá±ážááá¯á·ááá·áº á¡ááœá¬ážá¡áá¬á¡á¬ážáá¯á¶ážááᯠáá¯á¶ážá¡á¯ááºáá¬ážáááºá
2. Dynamic routing ááᯠá
á®á
ááºáááºááŸááºááá¯ááºá
á±ááá·áº CSs áá»á¬ážááŒá¬ážááœáẠptp á¥áááºáá»á¬ážááᯠá
á¯á
ááºážáá« (áá»áœááºá¯ááºááá¯á·á á¡ááŒá±á¡áá±ááœááºá áááºáá±á¬ááºááŸá¯áá±ážáá°á MPLS L3VPN ááᯠááá¯ááºáá»á¬ážááŒá¬ážááœáẠá
á¯á
ááºážáá¬ážáááº)á
áá±á¬ááºáááºááẠáááºáá±á¬ááºááŸá¯áá
áºáá¯á¡áá±ááŒáá·áº áá¯ááºááŸááºááŒááºážááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºááẠá¡áááá·áºáá±ážáá²á·áááºá ááá¯ááºáá«áá áá°ááẠcrypto gateway áá»á¬ážááá¯ááááºážááááºážáá¬ážááẠááá¯á·ááá¯áẠáááºážááá¯á·á¡á¬áž á¡ááœá²á·á¡á
ááºážá¡áá»áá¯á·áᶠoutsource áá±ážáá¯á¶áá¬ááá áá¯ááºááŸááºáááºááŸááºáá»á¬ážáááá
ááºáááºážááá¯áááºáž ááœááºáááºá
áœá¬á
á±á¬áá·áºááŒáá·áºááŒááºážá áááºážááá¯á·á¡á¬áž á¡áá»áááºáá® áááºáááºážááá¯ážáááºááŸáá·áº á¡áá
áºáá»á¬ážááᯠááá·áºááœááºážááááºá
ááá¯áá±á¬á· áááá·áºááŸááºá
á¯ááᯠ- áá»áœááºá¯ááºááá¯á· áááºááá¯ááŒááºáááºáá¬ážáá²á
CII áá¬áá¬áááºááᯠáááááŒá¯áááº- crypto gateway áá áºáá¯ááᯠáááºáá±á¬ááºááŒááºážá
á¡ááŒá±áá¶ááœááºáááºá áá áºááá·áºááœááºážááŒááºážá
ááááŠážá áœá¬á áá»áœááºá¯ááºááá¯á·ááẠCS á¡áá áºáá áºáá¯ááᯠá áááºááŒá®áž á á®áá¶ááá·áºááœá²áá±áž ááœááºááá¯ážááºááá¯á· áááºáá±á¬ááºáá«á built-in administrator á áá¬ážááŸáẠ- á¡áááá·áºááá¯ááŒá±á¬ááºážáá²ááŒááºážááŒáá·áºáááºá áááºááá·áºáááºá á¡áá¯á¶ážááŒá¯áá° á áá¬ážááŸáẠá á®áá¶ááá·áºááœá²áá°ááᯠááŒá±á¬ááºážáá«á. ááá¯á·áá±á¬ááºááœáẠáááºááẠáááŠážáá¯ááºáá¯á¶ážáá¯ááºáááºážááᯠáá¯ááºáá±á¬ááºááẠááá¯á¡ááºááẠ(á¡áááá·áºáá±ážáááºá á ááá») ááá¯ááºá ááºáá±áá¬ááᯠááá·áºááœááºážá ááºá¡ááœááºáž áá»áááºážáá¶áá«ááºá¡á¬áá¯á¶áá¶áááááᬠ(RNS) ááᯠá áááºáá¯ááºáá±á¬ááºáááºá
á¡á¬áá¯á¶á
áá¯ááº! S-Terra CC ááᯠá
áááºáá±á¬á¡áá«á áá¯á¶ááŒá¯á¶áá±áž ááááºáá±áž á¡ááºáá¬áá±á·á
áºáá»á¬ážááẠáááºáááºáá»á¬ážááᯠááŒááºáááºážááœáá·áºáááŒá¯ááá·áº áá¯á¶ááŒá¯á¶áá±ážáá°áá«áááᯠáá»ááŸááºáá¬ážáááºá ááá·áºááá¯ááºááá¯ááºáá°áá«áááᯠáááºáá®ážáááẠááá¯á·ááá¯áẠá¡áááá·áºááᯠá¡áá¯á¶ážááŒá¯ááááºá csconf_mgr ááᯠactivate áá¯ááºáá«á ááŒáá¯áááºáááºááŸááºáá¬ážáá±á¬ ááœáá·áºááŒá¯áá°áá«áááᯠá¡áááºááœááºážáá«á
ááá¯á·áá±á¬ááºá áááºááẠááŒááºáááŸáá·áº á¡ááœááºážááá¯ááºáž á¡ááºáá¬áá±á·á
áºáá»á¬ážá ááááºá
á¬áá±á¬áºááŒááŒááºážá¡ááŒáẠáá¯á¶áá±áááºážááŒá±á¬ááºážááᯠáááºááŸááºááẠááá¯á¡ááºáááºá CS network configuration ááŸáá·áº Cisco-like console ááŸáááá·áº encryption ááᯠconfigure áá¯ááºááŒááºážá ááá¯áá±á¬ááºážáá«áááºá á€ááœááºááá¯ážááºááẠCisco IOS ááœáŸááºááŒá¬ážáá»ááºáá»á¬ážááŸáá·áº áááºáá°ááá·áº ááœáŸááºááŒá¬ážáá»ááºáá»á¬ážááᯠááá·áºááœááºážááẠáá®ááá¯ááºážáá¯ááºáá¬ážáááºá Cisco-like console ááá¯á¡áá¯á¶ážááŒá¯á áá¯ááºáá¯ááºáá¬ážáá±á¬ configuration ááẠOS daemons á¡áá¯ááºáá¯ááºááá·áº áááºááá¯ááºáᬠconfiguration files áá»á¬ážá¡ááŒá
áºááá¯á· ááŒá±á¬ááºážáá²ááœá¬ážáá«áááºá á¡áááá·áºááŒáá·áº á¡á¯ááºáá»á¯ááºááŸá¯ááœááºááá¯ážááºá០Cisco-like console ááá¯á· áááºááœá¬ážááá¯ááºáááºá configuration.
built-in á¡áá¯á¶ážááŒá¯áá° cscons á¡ááœáẠá áá¬ážááŸááºáá»á¬ážááᯠááŒá±á¬ááºážáá²ááŒá®áž ááœáá·áºáá«-
> ááœáá·áºáá«á
á
áá¬ážááŸááº- csp (ááŒáá¯áááºááá·áºááœááºážáá¬ážáááº)
# terminal ááá¯ááŒááºáááºáá«á
#username cscons á¡ááœáá·áºáá°ážáᶠ15 áá»áŸáá¯á·ááŸáẠ0 #áá»áŸáá¯á·ááŸááºáá»ááºááᯠááœáá·áºááẠ0 á¡ááŒá±áᶠááœááºáááºááœá²á·á
ááºážáá¯á¶ááᯠá
áá
áºááá·áºááœááºážááŒááºáž-
#interface GigabitEthernet0/0
#ip ááááºá
ᬠ10.111.21.3 255.255.255.0
#áááááºáá«á
#interface GigabitEthernet0/1
#ip ááááºá
ᬠ192.168.2.5 255.255.255.252
#áááááºáá«á
#ip áááºážááŒá±á¬ááºáž 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Cisco-like console ááŸááœááºááŒá®áž debian shell ááá¯á· command ááŒáá·áºááœá¬ážáá«á á
á¶áá
áº. á¡áá¯á¶ážááŒá¯áá°á¡ááœáẠááá·áºááá¯ááºááá¯ááºá
áá¬ážááŸááºááᯠáááºááŸááºáá«á á¡ááŒá
Ạá¡áááºážá¡ááœá²á· passwd.
ááááºážáá»á¯ááºáááºážáá
áºáá¯á
á®ááœááºá áááºááá¯ááºáá
áºáá¯á
á®á¡ááœáẠáá®ážááŒá¬ážá¥áááºááá¯ááºáá±á«ááºážáá
áºáá¯ááᯠá
á®á
ááºáááºááŸááºáá¬ážáááºá á¥áááºááá¯ááºáá±á«ááºáž á¡ááºáá¬áá±á·á
áºááᯠááá¯ááºááœáẠááŒááºáááºáááºááŸááºáá¬ážáááºá / etc / network / interfaces. ááŒáá¯áááºááá·áºááœááºážáá¬ážáá±á¬ iproute2 set ááœááºáá«ááŸááá±á¬ IP tunnel utility ááẠá¡ááºáá¬áá±á·á
áºááá¯ááºááá¯ááºáááºáá®ážááẠáá¬áááºááŸááá«áááºá á¡ááºáá¬áá±á·á
áºáááºáá®ážááŸá¯á¡áááá·áºááᯠááŒáá¯áááºááŒááºáááºááŸá¯ááœáẠááá·áºááœááºážáá¬ážáááºá
áá¬áá¬áẠá¥áááºá¡ááºáá¬áá±á·á
áºá ááá°áá¬áá¯á¶á
á¶ááœá²á·á
ááºážáá¯á¶-
á¡á±á¬áºááá¯ááá¯áẠá
iface site1 inet static
192.168.1.4 ááááºá
á¬
netmask 255.255.255.254
pre-up ip tunnel add site1 áá¯áẠgre áá±áááá¯ááºáᬠ10.111.21.3 á¡áá±ážááááºáž 10.111.22.3 áá±á¬á· hfLYEg^vCh6p
á¡á¬áá¯á¶á áá¯ááº! á¥áááºá¡ááºáá¬áá±á·á áºáá»á¬ážá¡ááœáẠáááºáááºáá»á¬ážááẠááá¹áá¡ááŒááºáááºááœáẠááŸááá±ááááºááᯠáááááŒá¯ááá·áºáááºá
###netifcfg-á
áááº###
*****
###netifcfg-á¡áá¯á¶áž###
ááá¯á·ááá¯ááºáá«á Cisco áá²á·ááá¯á·áá±á¬ ááœááºááá¯ážááºáá áºáá¯ááŸáá áºááá·áº ááœááºáááºáááºáááºáá»á¬ážá áá¯ááºááá¯ááºážááá¯ááºáá¬á¡ááºáá¬áá±á·á áºáá»á¬ážá áááºáááºáá»á¬ážááᯠááŒá±á¬ááºážáá²áá±á¬á¡áá«ááœáẠá€áááºáááºáá»á¬ážááᯠáááºáá±ážáá«áááºá
ááá¯ááºážááá áºáááºážááŒá±á¬ááºáž
S-Terra ááœááºá Quagga áá±á¬á·ááºáá²ááºáááºáá±á·áá»áºááᯠá¡áá¯á¶ážááŒá¯á ááœá±á·áá»á¬ážáááºážááŒá±á¬ááºážááŒááŒááºážááᯠáá¯ááºáá±á¬ááºáááºá OSPF ááᯠconfigure áááºá¡ááœáẠdaemons ááᯠenable áá¯ááºááŒá®áž configure áá¯ááºáááºááá¯á¡ááºáá«áááºá ááŒááºážáá»á¬áž О ospfd. zebra daemon ááẠrouting daemons ááŸáá·áº OS á¡ááŒá¬áž áááºááœááºááŸá¯á¡ááœáẠáá¬áááºááŸááááºá á¡áááºáá±á¬áºááŒááá·áºá¡ááá¯ááºáž ospfd daemon ááẠOSPF áááá¯ááá¯áá±á¬ááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºááẠáá¬áááºááŸááááºá
OSPF ááᯠdaemon console ááŸáááá·áºááŒá
áºá
á± ááá¯á·ááá¯áẠconfiguration file ááŸáááá·áº ááá¯ááºááá¯áẠconfigure áá¯ááºáá¬ážáááºá /etc/quagga/ospfd.conf. ááœá±á·áá»á¬ážáááºážááŒá±á¬ááºážááŒá±á¬ááºážááŒááºážááœáẠáá«áááºáá±á¬ áá¯ááºááá¯ááºážááá¯ááºáá¬ááŸáá·áº á¥áááºááá¯ááºáá±á«ááºáž á¡ááºáá¬áá±á·á
áºá¡á¬ážáá¯á¶ážááᯠááá¯ááºááá¯á· áá±á«ááºážááá·áºáá¬ážááŒá®áž ááŒá±á¬áºááŒá¬ááŸáá·áº ááŒá±ááŒá¬áá»ááºáá»á¬ážááᯠáááºáá¶áááŸáááá·áº ááœááºáááºáá»á¬ážááá¯áááºáž ááŒá±áá¬áá¬ážáááºá
ááá·áºááœááºážááẠááá¯á¡ááºáá±á¬ ááœá²á·á
ááºážááŸá¯áá¯á¶á
ᶠááá°áá¬áá
áºáᯠospfd.conf:
á¡ááºáá¬áá±á·á
Ạeth0
!
á¡ááºáá¬áá±á·á
Ạeth1
!
á¡ááºáá¬áá±á·á
áºááá¯áẠá
!
á¡ááºáá¬áá±á·á
áºááá¯áẠá
router ospf
ospf router-id 192.168.2.21
ááœááºááẠ192.168.1.4/31 á§áááᬠ0.0.0.0
ááœááºááẠ192.168.1.16/31 á§áááᬠ0.0.0.0
ááœááºááẠ192.168.2.4/30 á§áááᬠ0.0.0.0
á€ááá á¹á ááœááºá ááááºá ᬠ192.168.1.x/31 ááᯠááá¯ááºáá»á¬ážááŒá¬ážááŸá á¥áááºááá¯ááºáá±á«ááºáž ptp ááœááºáááºáá»á¬ážá¡ááœáẠáá®ážááá·áºáá¬ážáááºá ááááºá ᬠ192.168.2.x/30 ááᯠCS ááŸáá·áº kernel áá±á¬ááºáá¬áá»á¬ážááŒá¬ážááŸá ááŒááºáááºážááœááºáááºáá»á¬ážá¡ááœáẠááœá²áá±áá±ážáá«áááºá
á¡á¬áá¯á¶á áá¯ááº! ááŒá®ážáá¬ážáá±á¬ áááºáááºááŸá¯áá»á¬ážááœáẠáááºážááŒá±á¬ááºážááŒááá¬ážááᯠáá»áŸá±á¬á·áá»áááºá¡ááœáẠáááºáá±á¬ááºááŸá¯áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á á¡áá°ážá¡ááŒá±á¬ááºážááœááºáááºáá»á¬ážá ááŒá±áá¬áá»ááºááᯠáááºážááá¯á·ááá¯ááºááá¯áẠá á áºáá¯ááºááá¯ááºáá«áááºá ááŒááºáááºááŒáá·áºáá±ááŒááºážáááŸááá«á ááá¯á·ááá¯áẠáá»áááºáááºáá¬ážáá±á¬ áááºážááŒá±á¬ááºážááŒá±áá¯á¶ááᯠááŒááºáááºááŒáá·áºáá±áá«á.
daemons ááᯠconfigure ááŒá®ážáá±á¬ááºá áááºááẠdaemons á startup status ááá¯ááŒá±á¬ááºážáá²áááºááá¯á¡ááºáááºá /etc/quagga/daemons. ááœá±ážáá»ááºááŸá¯áá»á¬ážááœáẠááŒááºážáá»á¬áž О ospfd áá¯ááºáá²á· áááŒá±á¬ááºážáá«áá°ážá KS á¡áááá·áºááá¯á áááºáá±á¬á¡áá« quagga daemon ááá¯á áááºááŒá®áž autorun áá¯áááºááŸááºáá«á update-rc.d quagga ááá¯ááœáá·áºáá«á.
GRE á¥áááºááá¯ááºáá±á«ááºážáá»á¬ážááŸáá·áº OSPF áááœá²á·á ááºážáá¯á¶áá»á¬ážááᯠááŸááºáááºá áœá¬áá¯ááºáá±á¬ááºáá«áá á¡ááŒá¬ážááá¯ááºáá»á¬ážáááœááºáááºá¡ááœááºážááŸááááºážááŒá±á¬ááºážáá»á¬ážááẠKSh ááŸáá·áº core routers áá»á¬ážáá±á«áºááœááºáá±á«áºáá¬áááºááŒá áºááŒá®ážá ááá¯á·ááŒá±á¬áá·áºá áá±áááá¯ááºáá¬ááœááºáááºáá»á¬ážááŒá¬ážááœáẠááœááºáááºáá»áááºáááºááŸá¯ááŒá áºáá±á«áºáá¬áá«áááºá
áá»áœááºá¯ááºááá¯á·ááẠáá°ážá ááºáááºážááŒá±á¬ááºážáá»á¬ážááᯠá á¬ááŸááºáá¬ážáááºá
áá±ážááŒá®ážáá¬ážá¡ááá¯ááºážá áá¯á¶ááŸááºá¡á¬ážááŒáá·áº ááá¯ááºáá»á¬ážá¡ááŒá¬áž áá¯ááºáá±ážááá·áºá¡áá«á áááºážááŒá±á¬ááºážáá»á¬ážááŒá¬ážááœáẠáá¯ááºááŸááºáá¬ážáá±á¬ IP ááááºá á¬á¡ááá¯ááºážá¡ááŒá¬ážáá»á¬áž (ACLs) ááᯠáááºááŸááºáá±ážáááº- á¡áááºážá¡ááŒá áºááŸáá·áº áŠážáááºáá¬ááááºá á¬áá»á¬ážááẠá€áá±á¬ááºáá»á¬ážá¡ááœááºážááœáẠáá»áá±á¬ááºáá«á áááºážááá¯á·ááŒá¬ážááŸá áááºážááŒá±á¬ááºážáá»á¬ážááᯠáá¯ááºááŸááºáá¬ážáááºá ááá¯á·áá±á¬áº á€ááá±á¬áá»ááºááœáẠááœá²á·á ááºážáá¯á¶ááẠááŒá±á¬ááºážáá²áá±ááŒá®áž ááááºá á¬áá»á¬áž ááŒá±á¬ááºážáá²ááá¯ááºáááºá áá»áœááºá¯ááºááá¯á·ááẠGRE á¥áááºááá¯ááºáá±á«ááºážááᯠááŒááºáááºáááºááŸááºáá¬ážááŒá®ážááŒá áºáá±á¬ááŒá±á¬áá·áºá ááŒááºá KS ááááºá á¬áá»á¬ážááᯠáá¯ááºááŸááºááŒááºážá¡ááœáẠáááºážááŒá±á¬ááºážááŸáá·áº áŠážáááºáá¬ááááºá á¬áá»á¬ážá¡ááŒá ẠááŒááºá KS ááááºá á¬áá»á¬ážááᯠáááºááŸááºááá¯ááºááẠ- ááá¯á·áá±á¬ááºááœááºá GRE áááá¯ááá¯áá±á¬á០áá¯á¶ážá¡á¯ááºáá¬ážááŒá®ážááŒá áºáá±á¬ áááºážááŒá±á¬ááºážááẠáá¯ááºááŸááºááŒááºážá¡ááœáẠáá±á¬ááºááŸááá¬áá«áááºá áá áºáááºážááá¯ááá±á¬áºá á¡ááŒá¬ážááá¯ááºáá»á¬ážá០ááŒá±ááŒá¬áá¬ážáá±á¬ ááœááºáááºáá»á¬ážáá®ááá¯á· ááá¯ááºáá áºáá¯á áá±áááœááºáž ááœááºáááºá០CS ááá¯á· áááºáá±á¬ááºááá·áº á¡áá¬á¡á¬ážáá¯á¶ážááᯠáá¯ááºááŸááºáá¬ážáááºá ááá¯ááºáá áºáá¯á á®ááœáẠáááºááá·áº redirection ááá¯áááᯠáá¯ááºáá±á¬ááºááá¯ááºáááºá ááá¯á·ááŒá±á¬áá·áºá áá±áááœááºáž ááœááºáááºáá»á¬ážááœáẠá¡ááŒá±á¬ááºážá¡áá² áá áºá á¯á¶áá áºáᬠááŸááá¬áá«áá á á®áá¶ááá·áºááœá²áá°ááẠááœááºáááºáá®ááá¯á· áááºážá ááœááºáááºááŸáá¬áá±á¬ ááŒá±ááŒá¬áá»ááºáá»á¬ážááᯠááŒá¯ááŒááºááœááºážáá¶áááºáᬠááá¯á¡ááºááŒá®áž áááºážááᯠá¡ááŒá¬ážááá¯ááºáá»á¬ážááœáẠáááŸááá¬áááºááŒá áºáááºá
S-Terra CS ááœáẠáá¯ááºááŸááºááŒááºážááᯠIPSec áááá¯ááá¯áá±á¬ááᯠá¡áá¯á¶ážááŒá¯á áá¯ááºáá±á¬ááºáááºá áá»áœááºá¯ááºááá¯á·ááẠGOST R 34.12-2015 á¡á "Grassshopper" algorithm ááá¯á¡áá¯á¶ážááŒá¯ááŒá®áž áá¬ážááŸááºážá¡áá±á¬ááºážáá»á¬ážááŸáá·áº ááá¯ááºáááºááŸá¯ááŸáá á±ááẠGOST 28147-89 ááᯠá¡áá¯á¶ážááŒá¯ááá¯ááºáá«áááºá ááŒáá¯áááºáááºááŸááºáá¬ážáá±á¬áá±á¬á·áá»á¬áž (PSK) ááŸáá·áº áááºááŸááºáá»á¬áž ááŸá áºáá¯á áá¯á¶ážááœáẠá á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒááŒááºážááᯠáááºážááá¬á¡á áá¯ááºáá±á¬ááºááá¯ááºáááºá ááá¯á·áá±á¬áºáááºáž á ááºááŸá¯áá¯ááºáááºážáááºáááºáá¬ááœáẠGOST R 34.10-2012 á¡á áá¯ááºáá±ážáá¬ážáá±á¬ áááºááŸááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááẠááá¯á¡ááºáá«áááºá
áááºááŸááºáá»á¬ážá ááœááºááááºáá¬áá»á¬ážááŸáá·áº CRLs áá»á¬ážááŸáá·áºá¡áá°á¡áá¯ááºáá¯ááºááŒááºážááᯠutility ááá¯á¡áá¯á¶ážááŒá¯ááŒá®ážáá¯ááºáá±á¬ááºáááºá cert_mgr. ááááá¯á¶ážá¡áá±áá²á· command ááá¯á¡áá¯á¶ážááŒá¯áá«á cert_mgr áááºáá®ážáá«á áááºááŸááºá á®áá¶ááá·áºááœá²ááŸá¯á ááºáá¬ááá¯á· áá±ážááá¯á·ááá·áº áá®ážááá·áºáá±á¬á·ááœááºááááºáá¬ááŸáá·áº áááºááŸááºáá±á¬ááºážááá¯áá»ááºáá áºáá¯ááᯠáá¯ááºáá±ážááẠááá¯á¡ááºáá«áááºá áááºááŸááºááᯠáááºáá¶áááŸáááŒá®ážáá±á¬ááºá áááºážááᯠroot CA áááºááŸááºááŸáá·áº CRL (á¡áá¯á¶ážááŒá¯áá»áŸááº) á¡áááá·áºááŒáá·áº ááá·áºááœááºážááá«áááºá cert_mgr áááºááœááºážááŒááºážá. áááºááŸááºáá»á¬ážááŸáá·áº CRL á¡á¬ážáá¯á¶ážááᯠcommand ááŒáá·áº ááá·áºááœááºážáá¬ážááŒá±á¬ááºáž áá±áá»á¬á á±ááá¯ááºáá«áááºá cert_mgr ááŸáá¯áž.
áááºááŸááºáá»á¬ážááᯠá¡á±á¬ááºááŒááºá
áœá¬ ááá·áºááœááºážááŒá®ážáá±á¬ááºá IPSec ááᯠconfigure áá¯ááºááẠCisco-like console ááá¯á· ááœá¬ážáá«á
áá»áœááºá¯ááºááá¯á·ááẠáááºáá®ážáá¬ážáá±á¬ áá¯á¶ááŒá¯á¶áá±á¬áá»ááºáááºá ááá¯áá»ááºáá±á¬ á¡ááºáááá¯áá®áááºáá»á¬ážááŸáá·áº ááá·áºáááºáá»ááºáá»á¬ážááᯠáááºááŸááºáá±ážááá·áº IKE áá°áá«áááᯠáááºáá®ážááŒá®áž ááœáá·áºááŒá¯áá»ááºá¡ááœáẠáá«ááá¬á¡á¬áž áááºážááŸááºážáááºááŒá
áºáááºá
#crypto isakmp áá°áá«á 1000
#encr gost341215k
#hash gost341112-512-tc26
#á
á
áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬áž
#á¡á¯ááºá
ᯠvko2
#áá
áºáááºáᬠáááá
IPSec áááá¡ááá·áºááᯠáááºáá±á¬ááºááá·áºá¡áá« á€áá°áá«áááᯠáá»áá·áºáá¯á¶ážáá«áááºá áááá¡ááá·áº á¡á±á¬ááºááŒááºá
áœá¬ ááŒá®ážááŒá±á¬ááºááŒááºážá ááááºááŸá¬ SA (áá¯á¶ááŒá¯á¶áá±ážá¡áááºáž) ááᯠáááºáá±á¬ááºáá²á·áááºá
ááá¯á·áá±á¬ááºá áá»áœááºá¯ááºááá¯á·ááẠáá¯ááºááŸááºááŒááºážá¡ááœáẠáááºážááŒá
áºááŸáá·áº áŠážáááºáᬠIP ááááºá
á¬áá»á¬áž (ACL) á
á¬áááºážááᯠáááºááŸááºáááºááŸááºáááºá á¡ááœááºááŒá±á¬ááºážááŸá¯á¡á
á¯á¶ááᯠáááºáá®ážáááºá áá¯ááºááŸááºááŒá±áá¯á¶ (crypto map) áááºáá®ážááŒá®áž CS á ááŒááºááá»ááºááŸá¬ááŒááºááá¯á· áá±á«ááºážá
ááºážááẠááá¯á¡ááºáá«áááºá
ACL áááºááŸááºáááº-
#ip áááºáá±á¬ááºááœáá·áºá
á¬áááºáž ááá¯ážáá»á²á·ááá¯ááºá
#permit gre host 10.111.21.3 host 10.111.22.3
á¡ááœááºááŒá±á¬ááºážááŸá¯á¡á á¯áá áºáᯠ(áááá¡ááá·áºáá²á·ááá¯á·áááºá áá»áœááºá¯ááºááá¯á·ááẠááá¯ááºáá±á¬áºááá·áºááœááºážááŸá¯áá»áá¯ážáááºáá¯ááºááᯠá¡áá¯á¶ážááŒá¯á "Grasshopper" áá¯ááºááŸááºááŒááºážááá¯ááºáᬠá¡ááºáááá¯áá®áááºááᯠá¡áá¯á¶ážááŒá¯áááº)
#crypto ipsec transform-set GOST esp-gost341215k-mac
áá»áœááºá¯ááºááá¯á·ááẠcrypto ááŒá±áá¯á¶ááá¯áááºáá®ážáááºá ACL ááá¯áááºááŸááºáá«á áááºááŸááºáá¯á¶á á¶ááŒá±á¬ááºážááŒááºážááŸáá·áºáááºáá°ááœááºáá°ááááºá á¬ááá¯áááºáá®ážáááº-
#crypto ááŒá±áá¯á¶ MAIN 100 ipsec-isakmp
#ááááºá
á¬ááá¯áẠá
#set transform-set GOST
#set peer 10.111.22.3
áá»áœááºá¯ááºááá¯á·ááẠááœá±áá¬ážá á¬áááºážá ááŒááºááá»ááºááŸá¬ááŒááºááœáẠcrypto áááºááᯠáá»áááºááœá²áá¬ážáááº-
#interface GigabitEthernet0/0
#ip ááááºá
ᬠ10.111.21.3 255.255.255.0
#crypto ááŒá±áá¯á¶ MAIN
á¡ááŒá¬ážáááºááá¯ááºáá»á¬ážááŸáá·áº áá»ááºáááºáá»á¬ážááᯠá á¬ááŸááºáááºá ACL á¡áááºá IP ááááºá á¬áá»á¬ážááŸáá·áº crypto áááºáá¶áá«ááºááá¯á·ááᯠááŒá±á¬ááºážáá²ááŒááºážá ACL ááŸáá·áº crypto áááºáááºáá®ážááŒááºážááá¯ááºáᬠáá¯ááºáá¯á¶ážáá¯ááºáááºážááᯠáááºáá¯ááºááá«áááºá
á¡á¬áá¯á¶á áá¯ááº! CRL á០á¡ááá¡ááŸááºááŒá¯ áááºááŸááºááᯠá¡áá¯á¶ážáááŒá¯áá«áá áááºážááᯠá¡ááá¡áááºáž áááºááŸááºááá«áááº-
#crypto pki trustpoint s-terra_technological_trustpoint
#ááŒááºáááºáá¯ááºááááºážááŒááºáž-á
á
áºáá±ážááŒááºážáááŸááá«á
á€á¡áá»áááºááœááºá á áá áºááá·áºááœááºážááŸá¯ ááŒá®ážááŒáá·áºá á¯á¶áááºáᯠáá°áááá¯ááºáááºá Cisco-like console command output ááœáẠcrypto isakmp sa ááá¯ááŒááá«á О crypto ipsec sa ááá¯ááŒáá«á IPSec á áááááŸáá·áº áá¯áááá¡ááá·áºáá»á¬ážááᯠáá±á¬ááºááŒááºáááºááá·áºáááºá áá°áá®áá±á¬á¡áá»ááºá¡áááºáá»á¬ážááᯠcommand ááᯠá¡áá¯á¶ážááŒá¯á ááá°ááá¯ááºáááºá sa_mgr ááŸáá¯áždebian shell á០ááœááºáá»ááºáááºá command output ááœááºá cert_mgr ááŸáá¯áž á¡áá±ážááŸááá¯ááºáááºááŸááºáá»á¬áž áá±á«áºáá¬ááá·áºáááºá ááá¯ááá¯á·áá±á¬ áááºááŸááºáá»á¬ážá á¡áá±á¡áá¬ážááẠááŒá áºáááá·áºáááºá áá±ážáá¶áá±á¬. á¥áááºáá»á¬ážááᯠááááºáá±á¬ááºáá«áá ááá¯ááºááœááºááááºážáááºážáá¬ážááá·áº VPN áááºáá±á¬ááºááŸá¯ááŸááºáááºážááᯠááŒáá·áºááŸá¯ááẠááá¯á¡ááºáááºá /var/log/cspvpngate.log. áááºážááá¯á·á á¡ááŒá±á¬ááºážá¡áá¬áá±á¬áºááŒáá»ááºáá«ááŸááá±á¬ ááŸááºáááºážááá¯ááºáá»á¬ážá á á¬áááºážá¡ááŒáá·áºá¡á á¯á¶ááᯠá á¬ááœááºá á¬áááºážááœáẠáááá¯ááºáá«áááºá
á áá áºá "áá»ááºážáá¬áá±áž" ááá¯á á±á¬áá·áºááŒáá·áº
S-Terra CC ááẠá
á±á¬áá·áºááŒáá·áºáááºá¡ááœáẠá
ᶠsnmpd daemon ááᯠá¡áá¯á¶ážááŒá¯áááºá áá¯á¶ááŸáẠLinux ááá·áºáááºáá±á¬ááºáá»á¬ážá¡ááŒááºá S-Terra ááẠIPSec á¥áááºááá¯ááºáá±á«ááºážáá»á¬ážá¡ááŒá±á¬ááºáž CISCO-IPSEC-FLOW-MONITOR-MIB ááŸáá·áºá¡áá® IPSec á¥áááºááá¯ááºáá±á«ááºážáá»á¬ážá¡ááŒá±á¬ááºáž áá±áá¬áá¯ááºáá±ážááŒááºážááᯠáá¶á·ááá¯ážáá±ážáá«áááºá áááºááá¯ážáá»á¬ážá¡ááŒá
Ạscript execution ááááºáá»á¬ážááá¯áá¯ááºáá±ážááá·áº á
áááºááŒáá¯áẠOID áá»á¬ážá áá¯ááºáá±á¬ááºááá¯ááºá
áœááºážááá¯áááºáž áá¶á·ááá¯ážáá¬ážáááºá á€áá¯ááºáá±á¬ááºáá»ááºááẠáá»áœááºá¯ááºááá¯á·á¡á¬áž áááºááŸááºáááºáááºážáá¯ááºáá¯á¶ážáááºáá»á¬ážááᯠááŒá±áá¬áá¶ááá¯ááºá
á±áá«áááºá áá±ážáá¬ážáá±á¬ script ááẠcommand output ááᯠááá¯ááºážááŒá¬ážáááºá cert_mgr ááŸáá¯áž ááááºá¡áá±ááŒáá·áº local ááŸáá·áº root áááºááŸááºáá»á¬áž áááºáááºážáá¯ááºáááºá¡áá áááºá¡áá±á¡ááœááºááᯠáá±ážáááºá CABGs á¡áá»á¬ážá¡ááŒá¬ážááᯠá
á®áá¶ááá·áºááœá²áá¬ááœáẠá€áááºážááá¬ááẠáááŸááááŒá
áºááá¯á¡ááºáá«áááºá
ááá¯ááá¯á·áá±á¬ áá¯ááºááŸááºááŒááºážá á¡áá»áá¯ážáá»á±ážáá°ážáá¬áž á¡áááºáááºážá
á¡áááºáá±á¬áºááŒáá« áá¯ááºáá±á¬ááºááá¯ááºá áœááºážá¡á¬ážáá¯á¶ážááᯠS-Terra KSh á០áá¶á·ááá¯ážáá±ážáá«áááºá ááá¯ááá¯áááºááŸá¬á crypto gateways áá»á¬ážá certification ááŸáá·áº information system áá áºáá¯áá¯á¶ážá certification ááᯠááááá¯ááºá á±ááá¯ááºáá±á¬ áá±á¬ááºááẠmodule áá»á¬áž ááá·áºááœááºážááẠáááá¯á¡ááºáá«á á¡ááºáá¬áááºááŸáááá·áºááẠááá¯ááºáá»á¬ážá¡ááŒá¬áž áá»ááºáááºáá»á¬áž ááŸáááá¯ááºáááºá
á¡ááœááºážááá¯ááºážá¡ááŒá±áá¶á¡áá±á¬ááºá¡á¡á¯á¶áá»á¬ážááŒá±á¬ááºážáá²áá±á¬á¡áá«ááœáẠcrypto gateway áá»á¬ážááá¯ááŒááºáááºááŒááºáááºáááºáááá¯á¡ááºáá±á¬ááŒá±á¬áá·áºá á áá áºááẠáááºáá±á¬ááºááŸá¯áá áºáá¯á¡ááŒá Ạáá¯ááºáá±á¬ááºáááºááá±á¬ááºáááºá¡ááœáẠá¡ááœááºá¡áááºááŒá±áááº- áá°ááẠáááºááá·áºááááºá á¬áá»á¬ážááœááºáááᯠáááºážááááºáá±á¬ááºááŸá¯áá»á¬áž (áá±á¬ááºáááºááŸáá·áº áá¬áá¬) ááᯠáá±áá¬áá»ááá¯ááºááŒá®áž ááŒá±á¬ááºážáá²ááŸá¯á¡á¬ážáá¯á¶ážááᯠáá¯ááºááŸááºáá á¹á ááºážáááááá¬áá»á¬ážááŒá¬ážááœáẠááá¯ááºážááá áºááŒáá·áº ááœáŸá²ááŒá±á¬ááºážáá±ážáááºááŒá áºáááºá
áá¯ááºáá«áááºá áá¯ááºáá»á ááááºáá»á¬áž (overhead) ááŒá±á¬áá·áº áá¯ááºáá¯ááºáá¯ááºááŒááºážááẠáá±áá¬ááœáŸá²ááŒá±á¬ááºážááŸá¯á¡ááŒááºááŸá¯ááºážááᯠáááºáá±á¬ááºááŸá¯ááŸááá±á¬áºáááºáž á¡áááºážáááºáᬠ- áá»ááºáááºááŒááºáááºážááŸá¯ááẠá¡áá»á¬ážáá¯á¶áž 5-10% á¡áá áá»á±á¬á·áá»ááœá¬ážááá¯ááºáááºá áá áºáá»áááºáááºážááŸá¬áááºá áááºážááá¬ááᯠá ááºážáááºááŒá®áž ááŸáá¯ááºážááŸá¯ááºážáááºážáá±á¬ ááŒáá¯ááºáá¯ááá¯ááºážáá»á¬ážáá±á«áºááœááºááẠááááºáá±á¬ááºážáá»á¬ážááᯠááŒááá¬ážáááºá
Rostelecom-Solar ááá¯áááá¡á¯ááºáá»á¯ááºááŸá¯ááá¯ááºážáá¡ááºáá»ááºáá®áᬠIgor Vinokhodov
source: www.habr.com