🥇ਸਾਨੂੰ GOST ਦੇ ਅਨੁਸਾਰ ਏਨਕ੍ਰਿਪਟ ਕੀਤਾ ਗਿਆ ਹੈ: ਗਤੀਸ਼ੀਲ ਟ੍ਰੈਫਿਕ ਰੂਟਿੰਗ ਸਥਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਰੀਮਾਈਂਡਰ

ਜੇਕਰ ਤੁਹਾਡੀ ਕੰਪਨੀ ਨੈੱਟਵਰਕ 'ਤੇ ਨਿੱਜੀ ਡੇਟਾ ਅਤੇ ਹੋਰ ਗੁਪਤ ਜਾਣਕਾਰੀ ਪ੍ਰਸਾਰਿਤ ਜਾਂ ਪ੍ਰਾਪਤ ਕਰਦੀ ਹੈ ਜੋ ਕਾਨੂੰਨ ਦੇ ਅਨੁਸਾਰ ਸੁਰੱਖਿਆ ਦੇ ਅਧੀਨ ਹੈ, ਤਾਂ ਇਸਨੂੰ GOST ਐਨਕ੍ਰਿਪਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਲੋੜ ਹੈ। ਅੱਜ ਅਸੀਂ ਤੁਹਾਨੂੰ ਦੱਸਾਂਗੇ ਕਿ ਅਸੀਂ ਗਾਹਕਾਂ ਵਿੱਚੋਂ ਇੱਕ 'ਤੇ S-Terra crypto gateway (CS) ਦੇ ਆਧਾਰ 'ਤੇ ਅਜਿਹੇ ਐਨਕ੍ਰਿਪਸ਼ਨ ਨੂੰ ਕਿਵੇਂ ਲਾਗੂ ਕੀਤਾ ਹੈ। ਇਹ ਕਹਾਣੀ ਜਾਣਕਾਰੀ ਸੁਰੱਖਿਆ ਮਾਹਰਾਂ ਦੇ ਨਾਲ-ਨਾਲ ਇੰਜੀਨੀਅਰਾਂ, ਡਿਜ਼ਾਈਨਰਾਂ ਅਤੇ ਆਰਕੀਟੈਕਟਾਂ ਲਈ ਦਿਲਚਸਪੀ ਵਾਲੀ ਹੋਵੇਗੀ। ਅਸੀਂ ਇਸ ਪੋਸਟ ਵਿੱਚ ਤਕਨੀਕੀ ਸੰਰਚਨਾ ਦੀਆਂ ਬਾਰੀਕੀਆਂ ਵਿੱਚ ਡੂੰਘਾਈ ਨਾਲ ਡੁਬਕੀ ਨਹੀਂ ਲਵਾਂਗੇ; ਅਸੀਂ ਬੁਨਿਆਦੀ ਸੈੱਟਅੱਪ ਦੇ ਮੁੱਖ ਨੁਕਤਿਆਂ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਤ ਕਰਾਂਗੇ। ਲੀਨਕਸ OS ਡੈਮਨਾਂ ਨੂੰ ਸਥਾਪਤ ਕਰਨ 'ਤੇ ਦਸਤਾਵੇਜ਼ਾਂ ਦੀ ਵੱਡੀ ਮਾਤਰਾ, ਜਿਸ 'ਤੇ S-Terra CS ਅਧਾਰਤ ਹੈ, ਇੰਟਰਨੈਟ 'ਤੇ ਮੁਫਤ ਉਪਲਬਧ ਹਨ। ਮਲਕੀਅਤ S-Terra ਸੌਫਟਵੇਅਰ ਸਥਾਪਤ ਕਰਨ ਲਈ ਦਸਤਾਵੇਜ਼ ਵੀ ਜਨਤਕ ਤੌਰ 'ਤੇ ਉਪਲਬਧ ਹਨ ਪੋਰਟਲ ਨਿਰਮਾਤਾ.

ਪ੍ਰਾਜੈਕਟ ਬਾਰੇ ਕੁਝ ਸ਼ਬਦ

ਗਾਹਕ ਦਾ ਨੈੱਟਵਰਕ ਟੋਪੋਲੋਜੀ ਮਿਆਰੀ ਸੀ - ਕੇਂਦਰ ਅਤੇ ਸ਼ਾਖਾਵਾਂ ਵਿਚਕਾਰ ਪੂਰਾ ਜਾਲ। ਸਾਰੀਆਂ ਸਾਈਟਾਂ ਦੇ ਵਿਚਕਾਰ ਸੂਚਨਾ ਐਕਸਚੇਂਜ ਚੈਨਲਾਂ ਦੀ ਏਨਕ੍ਰਿਪਸ਼ਨ ਨੂੰ ਪੇਸ਼ ਕਰਨਾ ਜ਼ਰੂਰੀ ਸੀ, ਜਿਨ੍ਹਾਂ ਵਿੱਚੋਂ 8 ਸਨ.

ਆਮ ਤੌਰ 'ਤੇ ਅਜਿਹੇ ਪ੍ਰੋਜੈਕਟਾਂ ਵਿੱਚ ਸਭ ਕੁਝ ਸਥਿਰ ਹੁੰਦਾ ਹੈ: ਸਾਈਟ ਦੇ ਸਥਾਨਕ ਨੈਟਵਰਕ ਲਈ ਸਥਿਰ ਰੂਟ ਕ੍ਰਿਪਟੋ ਗੇਟਵੇਜ਼ (CGs) 'ਤੇ ਸੈੱਟ ਕੀਤੇ ਜਾਂਦੇ ਹਨ, ਏਨਕ੍ਰਿਪਸ਼ਨ ਲਈ IP ਪਤਿਆਂ (ACLs) ਦੀਆਂ ਸੂਚੀਆਂ ਰਜਿਸਟਰ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ। ਹਾਲਾਂਕਿ, ਇਸ ਸਥਿਤੀ ਵਿੱਚ, ਸਾਈਟਾਂ ਦਾ ਕੇਂਦਰੀਕ੍ਰਿਤ ਨਿਯੰਤਰਣ ਨਹੀਂ ਹੁੰਦਾ ਹੈ, ਅਤੇ ਉਹਨਾਂ ਦੇ ਸਥਾਨਕ ਨੈਟਵਰਕ ਦੇ ਅੰਦਰ ਕੁਝ ਵੀ ਹੋ ਸਕਦਾ ਹੈ: ਨੈਟਵਰਕ ਨੂੰ ਹਰ ਸੰਭਵ ਤਰੀਕੇ ਨਾਲ ਜੋੜਿਆ, ਮਿਟਾਇਆ ਅਤੇ ਸੋਧਿਆ ਜਾ ਸਕਦਾ ਹੈ। ਸਾਈਟਾਂ 'ਤੇ ਸਥਾਨਕ ਨੈੱਟਵਰਕਾਂ ਦੇ ਐਡਰੈਸਿੰਗ ਨੂੰ ਬਦਲਣ ਵੇਲੇ KS 'ਤੇ ਰੂਟਿੰਗ ਅਤੇ ACL ਨੂੰ ਮੁੜ ਸੰਰਚਿਤ ਕਰਨ ਤੋਂ ਬਚਣ ਲਈ, GRE ਟਨਲਿੰਗ ਅਤੇ OSPF ਡਾਇਨਾਮਿਕ ਰੂਟਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦਾ ਫੈਸਲਾ ਕੀਤਾ ਗਿਆ ਸੀ, ਜਿਸ ਵਿੱਚ ਸਾਈਟਾਂ 'ਤੇ ਨੈੱਟਵਰਕ ਕੋਰ ਪੱਧਰ 'ਤੇ ਸਾਰੇ KS ਅਤੇ ਜ਼ਿਆਦਾਤਰ ਰਾਊਟਰ ਸ਼ਾਮਲ ਹਨ ( ਕੁਝ ਸਾਈਟਾਂ 'ਤੇ, ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਪ੍ਰਬੰਧਕ ਕਰਨਲ ਰਾਊਟਰਾਂ 'ਤੇ KS ਵੱਲ SNAT ਦੀ ਵਰਤੋਂ ਨੂੰ ਤਰਜੀਹ ਦਿੰਦੇ ਹਨ)।

GRE ਟਨਲਿੰਗ ਨੇ ਸਾਨੂੰ ਦੋ ਸਮੱਸਿਆਵਾਂ ਹੱਲ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੱਤੀ:
1. ACL ਵਿੱਚ ਐਨਕ੍ਰਿਪਸ਼ਨ ਲਈ CS ਦੇ ਬਾਹਰੀ ਇੰਟਰਫੇਸ ਦੇ IP ਐਡਰੈੱਸ ਦੀ ਵਰਤੋਂ ਕਰੋ, ਜੋ ਹੋਰ ਸਾਈਟਾਂ 'ਤੇ ਭੇਜੇ ਗਏ ਸਾਰੇ ਟ੍ਰੈਫਿਕ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ।
2. CSs ਦੇ ਵਿਚਕਾਰ ptp ਸੁਰੰਗਾਂ ਨੂੰ ਸੰਗਠਿਤ ਕਰੋ, ਜੋ ਤੁਹਾਨੂੰ ਡਾਇਨਾਮਿਕ ਰੂਟਿੰਗ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ (ਸਾਡੇ ਕੇਸ ਵਿੱਚ, ਪ੍ਰਦਾਤਾ ਦਾ MPLS L3VPN ਸਾਈਟਾਂ ਵਿਚਕਾਰ ਸੰਗਠਿਤ ਹੈ)।

ਕਲਾਇੰਟ ਨੇ ਇੱਕ ਸੇਵਾ ਦੇ ਰੂਪ ਵਿੱਚ ਏਨਕ੍ਰਿਪਸ਼ਨ ਨੂੰ ਲਾਗੂ ਕਰਨ ਦਾ ਆਦੇਸ਼ ਦਿੱਤਾ। ਨਹੀਂ ਤਾਂ, ਉਸ ਨੂੰ ਨਾ ਸਿਰਫ਼ ਕ੍ਰਿਪਟੋ ਗੇਟਵੇਜ਼ ਦੀ ਸਾਂਭ-ਸੰਭਾਲ ਕਰਨੀ ਪਵੇਗੀ ਜਾਂ ਉਹਨਾਂ ਨੂੰ ਕਿਸੇ ਸੰਸਥਾ ਨੂੰ ਆਊਟਸੋਰਸ ਕਰਨਾ ਪਏਗਾ, ਸਗੋਂ ਐਨਕ੍ਰਿਪਸ਼ਨ ਸਰਟੀਫਿਕੇਟਾਂ ਦੇ ਜੀਵਨ ਚੱਕਰ ਦੀ ਸੁਤੰਤਰ ਤੌਰ 'ਤੇ ਨਿਗਰਾਨੀ ਵੀ ਕਰਨੀ ਪਵੇਗੀ, ਉਹਨਾਂ ਨੂੰ ਸਮੇਂ 'ਤੇ ਨਵਿਆਉਣ ਅਤੇ ਨਵੇਂ ਸਥਾਪਤ ਕਰਨੇ ਪੈਣਗੇ।

ਅਤੇ ਹੁਣ ਅਸਲ ਮੀਮੋ - ਅਸੀਂ ਕਿਵੇਂ ਅਤੇ ਕੀ ਕੌਂਫਿਗਰ ਕੀਤਾ ਹੈ

CII ਵਿਸ਼ੇ ਲਈ ਨੋਟ: ਇੱਕ ਕ੍ਰਿਪਟੋ ਗੇਟਵੇ ਸਥਾਪਤ ਕਰਨਾ

ਬੁਨਿਆਦੀ ਨੈੱਟਵਰਕ ਸੈੱਟਅੱਪ

ਸਭ ਤੋਂ ਪਹਿਲਾਂ, ਅਸੀਂ ਇੱਕ ਨਵਾਂ CS ਲਾਂਚ ਕਰਦੇ ਹਾਂ ਅਤੇ ਪ੍ਰਸ਼ਾਸਨ ਕੰਸੋਲ ਵਿੱਚ ਦਾਖਲ ਹੁੰਦੇ ਹਾਂ। ਤੁਹਾਨੂੰ ਬਿਲਟ-ਇਨ ਐਡਮਿਨਿਸਟ੍ਰੇਟਰ ਪਾਸਵਰਡ - ਕਮਾਂਡ ਨੂੰ ਬਦਲ ਕੇ ਸ਼ੁਰੂ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ ਯੂਜ਼ਰ ਪਾਸਵਰਡ ਪ੍ਰਸ਼ਾਸਕ ਬਦਲੋ. ਫਿਰ ਤੁਹਾਨੂੰ ਸ਼ੁਰੂਆਤੀ ਪ੍ਰਕਿਰਿਆ (ਕਮਾਂਡ ਸ਼ੁਰੂ ਕਰੋ) ਜਿਸ ਦੌਰਾਨ ਲਾਇਸੈਂਸ ਡੇਟਾ ਦਾਖਲ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਬੇਤਰਤੀਬ ਨੰਬਰ ਸੈਂਸਰ (RNS) ਸ਼ੁਰੂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਧਿਆਨ ਦੇਵੋ! ਜਦੋਂ S-Terra CC ਨੂੰ ਸ਼ੁਰੂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇੱਕ ਸੁਰੱਖਿਆ ਨੀਤੀ ਸਥਾਪਤ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਜਿਸ ਵਿੱਚ ਸੁਰੱਖਿਆ ਗੇਟਵੇ ਇੰਟਰਫੇਸ ਪੈਕੇਟਾਂ ਨੂੰ ਲੰਘਣ ਦੀ ਇਜਾਜ਼ਤ ਨਹੀਂ ਦਿੰਦੇ ਹਨ। ਤੁਹਾਨੂੰ ਜਾਂ ਤਾਂ ਆਪਣੀ ਨੀਤੀ ਬਣਾਉਣੀ ਚਾਹੀਦੀ ਹੈ ਜਾਂ ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ csconf_mgr ਐਕਟੀਵੇਟ ਚਲਾਓ ਇੱਕ ਪੂਰਵ ਪਰਿਭਾਸ਼ਿਤ ਆਗਿਆ ਦੇਣ ਵਾਲੀ ਨੀਤੀ ਨੂੰ ਸਰਗਰਮ ਕਰੋ।
ਅੱਗੇ, ਤੁਹਾਨੂੰ ਬਾਹਰੀ ਅਤੇ ਅੰਦਰੂਨੀ ਇੰਟਰਫੇਸਾਂ ਦੇ ਐਡਰੈਸਿੰਗ ਦੇ ਨਾਲ-ਨਾਲ ਡਿਫੌਲਟ ਰੂਟ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨ ਦੀ ਲੋੜ ਹੈ। CS ਨੈੱਟਵਰਕ ਸੰਰਚਨਾ ਦੇ ਨਾਲ ਕੰਮ ਕਰਨਾ ਅਤੇ ਸਿਸਕੋ-ਵਰਗੇ ਕੰਸੋਲ ਦੁਆਰਾ ਏਨਕ੍ਰਿਪਸ਼ਨ ਨੂੰ ਸੰਰਚਿਤ ਕਰਨਾ ਬਿਹਤਰ ਹੈ। ਇਹ ਕੰਸੋਲ Cisco IOS ਕਮਾਂਡਾਂ ਵਰਗੀਆਂ ਕਮਾਂਡਾਂ ਦਰਜ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਸਿਸਕੋ-ਵਰਗੇ ਕੰਸੋਲ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਤਿਆਰ ਕੀਤੀ ਸੰਰਚਨਾ, ਬਦਲੇ ਵਿੱਚ, ਸੰਬੰਧਿਤ ਸੰਰਚਨਾ ਫਾਈਲਾਂ ਵਿੱਚ ਬਦਲੀ ਜਾਂਦੀ ਹੈ ਜਿਸ ਨਾਲ OS ਡੈਮਨ ਕੰਮ ਕਰਦੇ ਹਨ। ਤੁਸੀਂ ਕਮਾਂਡ ਨਾਲ ਪ੍ਰਸ਼ਾਸਨ ਕੰਸੋਲ ਤੋਂ ਸਿਸਕੋ-ਵਰਗੇ ਕੰਸੋਲ 'ਤੇ ਜਾ ਸਕਦੇ ਹੋ ਸੰਰਚਿਤ.

ਬਿਲਟ-ਇਨ ਯੂਜ਼ਰ cscons ਲਈ ਪਾਸਵਰਡ ਬਦਲੋ ਅਤੇ ਯੋਗ ਕਰੋ:

> ਯੋਗ ਕਰੋ
ਪਾਸਵਰਡ: csp (ਪਹਿਲਾਂ ਤੋਂ ਸਥਾਪਿਤ)
#ਸੰਰਚਨਾ ਟਰਮੀਨਲ
#username cscons privilege 15 secret 0 # enable secret 0 ਬੇਸਿਕ ਨੈੱਟਵਰਕ ਕੌਂਫਿਗਰੇਸ਼ਨ ਸੈਟ ਅਪ ਕਰਨਾ:

#ਇੰਟਰਫੇਸ GigabitEthernet0/0
#ip ਪਤਾ 10.111.21.3 255.255.255.0
# ਕੋਈ ਬੰਦ ਨਹੀਂ
#ਇੰਟਰਫੇਸ GigabitEthernet0/1
#ip ਪਤਾ 192.168.2.5 255.255.255.252
# ਕੋਈ ਬੰਦ ਨਹੀਂ
#ip ਰੂਟ 0.0.0.0 0.0.0.0 10.111.21.254

ਜੀ.ਈ.ਆਰ.

ਸਿਸਕੋ-ਵਰਗੇ ਕੰਸੋਲ ਤੋਂ ਬਾਹਰ ਜਾਓ ਅਤੇ ਕਮਾਂਡ ਨਾਲ ਡੇਬੀਅਨ ਸ਼ੈੱਲ 'ਤੇ ਜਾਓ ਸਿਸਟਮ. ਉਪਭੋਗਤਾ ਲਈ ਆਪਣਾ ਪਾਸਵਰਡ ਸੈੱਟ ਕਰੋ ਰੂਟ ਟੀਮ ਦੁਆਰਾ ਪਾਸਵਡ.
ਹਰੇਕ ਕੰਟਰੋਲ ਰੂਮ ਵਿੱਚ, ਹਰੇਕ ਸਾਈਟ ਲਈ ਇੱਕ ਵੱਖਰੀ ਸੁਰੰਗ ਸੰਰਚਿਤ ਕੀਤੀ ਗਈ ਹੈ। ਟਨਲ ਇੰਟਰਫੇਸ ਨੂੰ ਫਾਈਲ ਵਿੱਚ ਸੰਰਚਿਤ ਕੀਤਾ ਗਿਆ ਹੈ / etc / network / ਇੰਟਰਫੇਸ. IP ਸੁਰੰਗ ਉਪਯੋਗਤਾ, ਪਹਿਲਾਂ ਤੋਂ ਸਥਾਪਿਤ iproute2 ਸੈੱਟ ਵਿੱਚ ਸ਼ਾਮਲ, ਇੰਟਰਫੇਸ ਨੂੰ ਬਣਾਉਣ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ। ਇੰਟਰਫੇਸ ਰਚਨਾ ਕਮਾਂਡ ਨੂੰ ਪ੍ਰੀ-ਅੱਪ ਵਿਕਲਪ ਵਿੱਚ ਲਿਖਿਆ ਗਿਆ ਹੈ।

ਇੱਕ ਆਮ ਸੁਰੰਗ ਇੰਟਰਫੇਸ ਦੀ ਉਦਾਹਰਨ ਸੰਰਚਨਾ:
ਆਟੋ ਸਾਈਟ 1
iface site1 inet ਸਥਿਰ
ਐਡਰੈੱਸ 192.168.1.4
ਨੈੱਟਮਾਸਕ 255.255.255.254
ਪ੍ਰੀ-ਅੱਪ ip ਟਨਲ ਐਡ ਸਾਈਟ1 ਮੋਡ gre ਲੋਕਲ 10.111.21.3 ਰਿਮੋਟ 10.111.22.3 ਕੁੰਜੀ hfLYEg^vCh6p

ਧਿਆਨ ਦੇਵੋ! ਇਹ ਨੋਟ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ ਕਿ ਸੁਰੰਗ ਇੰਟਰਫੇਸ ਲਈ ਸੈਟਿੰਗਾਂ ਸੈਕਸ਼ਨ ਦੇ ਬਾਹਰ ਸਥਿਤ ਹੋਣੀਆਂ ਚਾਹੀਦੀਆਂ ਹਨ

###netifcfg-ਸ਼ੁਰੂ###
*****
###netifcfg-end###

ਨਹੀਂ ਤਾਂ, ਸਿਸਕੋ-ਵਰਗੇ ਕੰਸੋਲ ਦੁਆਰਾ ਭੌਤਿਕ ਇੰਟਰਫੇਸ ਦੀਆਂ ਨੈੱਟਵਰਕ ਸੈਟਿੰਗਾਂ ਨੂੰ ਬਦਲਣ ਵੇਲੇ ਇਹ ਸੈਟਿੰਗਾਂ ਨੂੰ ਓਵਰਰਾਈਟ ਕੀਤਾ ਜਾਵੇਗਾ।

ਡਾਇਨਾਮਿਕ ਰੂਟਿੰਗ

S-Terra ਵਿੱਚ, ਗਤੀਸ਼ੀਲ ਰੂਟਿੰਗ ਨੂੰ Quagga ਸਾਫਟਵੇਅਰ ਪੈਕੇਜ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਲਾਗੂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। OSPF ਨੂੰ ਸੰਰਚਿਤ ਕਰਨ ਲਈ ਸਾਨੂੰ ਡੈਮਨ ਨੂੰ ਸਮਰੱਥ ਅਤੇ ਸੰਰਚਿਤ ਕਰਨ ਦੀ ਲੋੜ ਹੈ ਜ਼ੈਬਰਾ и ospfd. ਜ਼ੈਬਰਾ ਡੈਮਨ ਰੂਟਿੰਗ ਡੈਮਨ ਅਤੇ OS ਵਿਚਕਾਰ ਸੰਚਾਰ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ। ospfd ਡੈਮਨ, ਜਿਵੇਂ ਕਿ ਨਾਮ ਤੋਂ ਪਤਾ ਲੱਗਦਾ ਹੈ, OSPF ਪ੍ਰੋਟੋਕੋਲ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ।
OSPF ਨੂੰ ਜਾਂ ਤਾਂ ਡੈਮਨ ਕੰਸੋਲ ਰਾਹੀਂ ਜਾਂ ਸਿੱਧਾ ਸੰਰਚਨਾ ਫਾਇਲ ਰਾਹੀਂ ਸੰਰਚਿਤ ਕੀਤਾ ਗਿਆ ਹੈ /etc/quagga/ospfd.conf. ਗਤੀਸ਼ੀਲ ਰੂਟਿੰਗ ਵਿੱਚ ਭਾਗ ਲੈਣ ਵਾਲੇ ਸਾਰੇ ਭੌਤਿਕ ਅਤੇ ਸੁਰੰਗ ਇੰਟਰਫੇਸਾਂ ਨੂੰ ਫਾਈਲ ਵਿੱਚ ਜੋੜਿਆ ਜਾਂਦਾ ਹੈ, ਅਤੇ ਉਹਨਾਂ ਨੈਟਵਰਕਸ ਨੂੰ ਵੀ ਘੋਸ਼ਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਜਿਨ੍ਹਾਂ ਦਾ ਇਸ਼ਤਿਹਾਰ ਦਿੱਤਾ ਜਾਵੇਗਾ ਅਤੇ ਘੋਸ਼ਣਾਵਾਂ ਪ੍ਰਾਪਤ ਕੀਤੀਆਂ ਜਾਣਗੀਆਂ।

ਸੰਰਚਨਾ ਦੀ ਇੱਕ ਉਦਾਹਰਨ ਜਿਸ ਵਿੱਚ ਜੋੜਨ ਦੀ ਲੋੜ ਹੈ ospfd.conf:
ਇੰਟਰਫੇਸ eth0
!
ਇੰਟਰਫੇਸ eth1
!
ਇੰਟਰਫੇਸ ਸਾਈਟ 1
!
ਇੰਟਰਫੇਸ ਸਾਈਟ 2
ਰਾਊਟਰ ospf
ospf ਰਾਊਟਰ-id 192.168.2.21
ਨੈੱਟਵਰਕ 192.168.1.4/31 ਖੇਤਰ 0.0.0.0
ਨੈੱਟਵਰਕ 192.168.1.16/31 ਖੇਤਰ 0.0.0.0
ਨੈੱਟਵਰਕ 192.168.2.4/30 ਖੇਤਰ 0.0.0.0

ਇਸ ਸਥਿਤੀ ਵਿੱਚ, ਪਤੇ 192.168.1.x/31 ਸਾਈਟਾਂ ਵਿਚਕਾਰ ਟਨਲ ptp ਨੈੱਟਵਰਕਾਂ ਲਈ ਰਾਖਵੇਂ ਹਨ, ਪਤੇ 192.168.2.x/30 ਨੂੰ CS ਅਤੇ ਕਰਨਲ ਰਾਊਟਰਾਂ ਵਿਚਕਾਰ ਆਵਾਜਾਈ ਨੈੱਟਵਰਕਾਂ ਲਈ ਨਿਰਧਾਰਤ ਕੀਤਾ ਗਿਆ ਹੈ।

ਧਿਆਨ ਦੇਵੋ! ਵੱਡੀਆਂ ਸਥਾਪਨਾਵਾਂ ਵਿੱਚ ਰੂਟਿੰਗ ਟੇਬਲ ਨੂੰ ਘਟਾਉਣ ਲਈ, ਤੁਸੀਂ ਕੰਸਟਰੱਕਟਸ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਟ੍ਰਾਂਜ਼ਿਟ ਨੈਟਵਰਕਸ ਦੇ ਇਸ਼ਤਿਹਾਰ ਨੂੰ ਫਿਲਟਰ ਕਰ ਸਕਦੇ ਹੋ ਕੋਈ ਮੁੜ ਵੰਡਿਆ ਨਹੀਂ ਹੈ ਜ ਕਨੈਕਟ ਕੀਤੇ ਰੂਟ-ਮੈਪ ਨੂੰ ਮੁੜ ਵੰਡੋ.

ਡੈਮਨ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਤੁਹਾਨੂੰ ਡੈਮਨ ਦੀ ਸ਼ੁਰੂਆਤੀ ਸਥਿਤੀ ਨੂੰ ਬਦਲਣ ਦੀ ਲੋੜ ਹੈ /etc/quagga/deemons. ਵਿਕਲਪਾਂ ਵਿੱਚ ਜ਼ੈਬਰਾ и ospfd ਹਾਂ ਵਿੱਚ ਕੋਈ ਬਦਲਾਅ ਨਹੀਂ। ਕਵਾਗਾ ਡੈਮਨ ਸ਼ੁਰੂ ਕਰੋ ਅਤੇ ਇਸਨੂੰ ਆਟੋਰਨ ਲਈ ਸੈੱਟ ਕਰੋ ਜਦੋਂ ਤੁਸੀਂ KS ਕਮਾਂਡ ਸ਼ੁਰੂ ਕਰਦੇ ਹੋ update-rc.d quagga ਯੋਗ.

ਜੇਕਰ GRE ਸੁਰੰਗਾਂ ਅਤੇ OSPF ਦੀ ਸੰਰਚਨਾ ਸਹੀ ਢੰਗ ਨਾਲ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਹੋਰ ਸਾਈਟਾਂ ਦੇ ਨੈੱਟਵਰਕ ਵਿੱਚ ਰੂਟ KSh ਅਤੇ ਕੋਰ ਰਾਊਟਰਾਂ 'ਤੇ ਦਿਖਾਈ ਦੇਣੇ ਚਾਹੀਦੇ ਹਨ ਅਤੇ, ਇਸ ਤਰ੍ਹਾਂ, ਸਥਾਨਕ ਨੈੱਟਵਰਕਾਂ ਵਿਚਕਾਰ ਨੈੱਟਵਰਕ ਕਨੈਕਟੀਵਿਟੀ ਪੈਦਾ ਹੁੰਦੀ ਹੈ।

ਅਸੀਂ ਸੰਚਾਰਿਤ ਟ੍ਰੈਫਿਕ ਨੂੰ ਏਨਕ੍ਰਿਪਟ ਕਰਦੇ ਹਾਂ

ਜਿਵੇਂ ਕਿ ਪਹਿਲਾਂ ਹੀ ਲਿਖਿਆ ਜਾ ਚੁੱਕਾ ਹੈ, ਆਮ ਤੌਰ 'ਤੇ ਸਾਈਟਾਂ ਵਿਚਕਾਰ ਏਨਕ੍ਰਿਪਟ ਕਰਨ ਵੇਲੇ, ਅਸੀਂ IP ਐਡਰੈੱਸ ਰੇਂਜਾਂ (ACLs) ਨੂੰ ਨਿਸ਼ਚਿਤ ਕਰਦੇ ਹਾਂ ਜਿਨ੍ਹਾਂ ਦੇ ਵਿਚਕਾਰ ਟ੍ਰੈਫਿਕ ਨੂੰ ਏਨਕ੍ਰਿਪਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ: ਜੇਕਰ ਸਰੋਤ ਅਤੇ ਮੰਜ਼ਿਲ ਪਤੇ ਇਹਨਾਂ ਰੇਂਜਾਂ ਦੇ ਅੰਦਰ ਆਉਂਦੇ ਹਨ, ਤਾਂ ਉਹਨਾਂ ਵਿਚਕਾਰ ਟ੍ਰੈਫਿਕ ਐਨਕ੍ਰਿਪਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਇਸ ਪ੍ਰੋਜੈਕਟ ਵਿੱਚ ਢਾਂਚਾ ਗਤੀਸ਼ੀਲ ਹੈ ਅਤੇ ਪਤੇ ਬਦਲ ਸਕਦੇ ਹਨ। ਕਿਉਂਕਿ ਅਸੀਂ ਪਹਿਲਾਂ ਹੀ GRE ਟਨਲਿੰਗ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰ ਚੁੱਕੇ ਹਾਂ, ਅਸੀਂ ਟ੍ਰੈਫਿਕ ਨੂੰ ਏਨਕ੍ਰਿਪਟ ਕਰਨ ਲਈ ਸਰੋਤ ਅਤੇ ਮੰਜ਼ਿਲ ਪਤਿਆਂ ਦੇ ਤੌਰ 'ਤੇ ਬਾਹਰੀ KS ਪਤਿਆਂ ਨੂੰ ਨਿਸ਼ਚਿਤ ਕਰ ਸਕਦੇ ਹਾਂ - ਆਖਰਕਾਰ, GRE ਪ੍ਰੋਟੋਕੋਲ ਦੁਆਰਾ ਪਹਿਲਾਂ ਹੀ ਇਨਕੈਪਸੂਲ ਕੀਤਾ ਗਿਆ ਟ੍ਰੈਫਿਕ ਐਨਕ੍ਰਿਪਸ਼ਨ ਲਈ ਆਉਂਦਾ ਹੈ। ਦੂਜੇ ਸ਼ਬਦਾਂ ਵਿੱਚ, ਹਰ ਉਹ ਚੀਜ਼ ਜੋ ਇੱਕ ਸਾਈਟ ਦੇ ਸਥਾਨਕ ਨੈਟਵਰਕ ਤੋਂ CS ਵਿੱਚ ਆਉਂਦੀ ਹੈ ਉਹਨਾਂ ਨੈਟਵਰਕਾਂ ਵੱਲ ਜੋ ਦੂਜੀਆਂ ਸਾਈਟਾਂ ਦੁਆਰਾ ਘੋਸ਼ਿਤ ਕੀਤੀ ਗਈ ਹੈ, ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਅਤੇ ਹਰੇਕ ਸਾਈਟ ਦੇ ਅੰਦਰ ਕੋਈ ਵੀ ਰੀਡਾਇਰੈਕਸ਼ਨ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ. ਇਸ ਤਰ੍ਹਾਂ, ਜੇਕਰ ਸਥਾਨਕ ਨੈੱਟਵਰਕਾਂ ਵਿੱਚ ਕੋਈ ਤਬਦੀਲੀ ਹੁੰਦੀ ਹੈ, ਤਾਂ ਪ੍ਰਬੰਧਕ ਨੂੰ ਸਿਰਫ਼ ਆਪਣੇ ਨੈੱਟਵਰਕ ਤੋਂ ਨੈੱਟਵਰਕ ਵੱਲ ਆਉਣ ਵਾਲੀਆਂ ਘੋਸ਼ਣਾਵਾਂ ਨੂੰ ਸੋਧਣ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ, ਅਤੇ ਇਹ ਹੋਰ ਸਾਈਟਾਂ ਲਈ ਉਪਲਬਧ ਹੋ ਜਾਵੇਗੀ।

S-Terra CS ਵਿੱਚ ਐਨਕ੍ਰਿਪਸ਼ਨ IPSec ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਅਸੀਂ GOST R 34.12-2015 ਦੇ ਅਨੁਸਾਰ “Grasshopper” ਐਲਗੋਰਿਦਮ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਾਂ, ਅਤੇ ਪੁਰਾਣੇ ਸੰਸਕਰਣਾਂ ਨਾਲ ਅਨੁਕੂਲਤਾ ਲਈ ਤੁਸੀਂ GOST 28147-89 ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹੋ। ਪ੍ਰਮਾਣਿਕਤਾ ਤਕਨੀਕੀ ਤੌਰ 'ਤੇ ਪਰਿਭਾਸ਼ਿਤ ਕੁੰਜੀਆਂ (PSKs) ਅਤੇ ਸਰਟੀਫਿਕੇਟਾਂ ਦੋਵਾਂ 'ਤੇ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ। ਹਾਲਾਂਕਿ, ਉਦਯੋਗਿਕ ਕਾਰਵਾਈ ਵਿੱਚ GOST R 34.10-2012 ਦੇ ਅਨੁਸਾਰ ਜਾਰੀ ਕੀਤੇ ਸਰਟੀਫਿਕੇਟਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਜ਼ਰੂਰੀ ਹੈ।

ਸਰਟੀਫਿਕੇਟ, ਕੰਟੇਨਰਾਂ ਅਤੇ ਸੀਆਰਐਲ ਨਾਲ ਕੰਮ ਕਰਨਾ ਉਪਯੋਗਤਾ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਕੀਤਾ ਜਾਂਦਾ ਹੈ cert_mgr. ਸਭ ਤੋਂ ਪਹਿਲਾਂ, ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰੋ cert_mgr ਬਣਾਓ ਇੱਕ ਪ੍ਰਾਈਵੇਟ ਕੁੰਜੀ ਕੰਟੇਨਰ ਅਤੇ ਇੱਕ ਸਰਟੀਫਿਕੇਟ ਬੇਨਤੀ ਤਿਆਰ ਕਰਨਾ ਜ਼ਰੂਰੀ ਹੈ, ਜੋ ਸਰਟੀਫਿਕੇਟ ਪ੍ਰਬੰਧਨ ਕੇਂਦਰ ਨੂੰ ਭੇਜਿਆ ਜਾਵੇਗਾ। ਸਰਟੀਫਿਕੇਟ ਪ੍ਰਾਪਤ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਇਸਨੂੰ ਰੂਟ CA ਸਰਟੀਫਿਕੇਟ ਅਤੇ CRL (ਜੇ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ) ਕਮਾਂਡ ਦੇ ਨਾਲ ਆਯਾਤ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ cert_mgr ਆਯਾਤ. ਤੁਸੀਂ ਇਹ ਯਕੀਨੀ ਬਣਾ ਸਕਦੇ ਹੋ ਕਿ ਕਮਾਂਡ ਨਾਲ ਸਾਰੇ ਸਰਟੀਫਿਕੇਟ ਅਤੇ ਸੀਆਰਐਲ ਸਥਾਪਤ ਕੀਤੇ ਗਏ ਹਨ cert_mgr ਸ਼ੋਅ.

ਸਰਟੀਫਿਕੇਟਾਂ ਨੂੰ ਸਫਲਤਾਪੂਰਵਕ ਸਥਾਪਿਤ ਕਰਨ ਤੋਂ ਬਾਅਦ, IPSec ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨ ਲਈ ਸਿਸਕੋ-ਵਰਗੇ ਕੰਸੋਲ 'ਤੇ ਜਾਓ।
ਅਸੀਂ ਇੱਕ IKE ਨੀਤੀ ਬਣਾਉਂਦੇ ਹਾਂ ਜੋ ਬਣਾਏ ਜਾ ਰਹੇ ਸੁਰੱਖਿਅਤ ਚੈਨਲ ਦੇ ਲੋੜੀਂਦੇ ਐਲਗੋਰਿਦਮ ਅਤੇ ਮਾਪਦੰਡਾਂ ਨੂੰ ਨਿਸ਼ਚਿਤ ਕਰਦੀ ਹੈ, ਜੋ ਕਿ ਪਾਰਟਨਰ ਨੂੰ ਮਨਜ਼ੂਰੀ ਲਈ ਪੇਸ਼ ਕੀਤੀ ਜਾਵੇਗੀ।

#crypto isakmp ਨੀਤੀ 1000
#encr gost341215k
#hash gost341112-512-tc26
# ਪ੍ਰਮਾਣੀਕਰਨ ਚਿੰਨ੍ਹ
# ਗਰੁੱਪ vko2
#ਜੀਵਨ ਕਾਲ 3600

ਇਹ ਨੀਤੀ IPSec ਦੇ ਪਹਿਲੇ ਪੜਾਅ ਨੂੰ ਬਣਾਉਣ ਵੇਲੇ ਲਾਗੂ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਪਹਿਲੇ ਪੜਾਅ ਦੇ ਸਫਲਤਾਪੂਰਵਕ ਮੁਕੰਮਲ ਹੋਣ ਦਾ ਨਤੀਜਾ SA (ਸੁਰੱਖਿਆ ਐਸੋਸੀਏਸ਼ਨ) ਦੀ ਸਥਾਪਨਾ ਹੈ।
ਅੱਗੇ, ਸਾਨੂੰ ਏਨਕ੍ਰਿਪਸ਼ਨ ਲਈ ਸਰੋਤ ਅਤੇ ਮੰਜ਼ਿਲ IP ਐਡਰੈੱਸ (ACL) ਦੀ ਇੱਕ ਸੂਚੀ ਪਰਿਭਾਸ਼ਿਤ ਕਰਨ, ਇੱਕ ਟ੍ਰਾਂਸਫਾਰਮ ਸੈੱਟ ਤਿਆਰ ਕਰਨ, ਇੱਕ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਨਕਸ਼ਾ (ਕ੍ਰਿਪਟੋ ਨਕਸ਼ਾ) ਬਣਾਉਣ ਅਤੇ ਇਸਨੂੰ CS ਦੇ ਬਾਹਰੀ ਇੰਟਰਫੇਸ ਨਾਲ ਬੰਨ੍ਹਣ ਦੀ ਲੋੜ ਹੈ।

ACL ਸੈੱਟ ਕਰੋ:
#ip ਪਹੁੰਚ-ਸੂਚੀ ਵਿਸਤ੍ਰਿਤ ਸਾਈਟ 1
#permit gre ਹੋਸਟ 10.111.21.3 ਹੋਸਟ 10.111.22.3

ਪਰਿਵਰਤਨ ਦਾ ਇੱਕ ਸਮੂਹ (ਪਹਿਲੇ ਪੜਾਅ ਵਾਂਗ, ਅਸੀਂ ਸਿਮੂਲੇਸ਼ਨ ਇਨਸਰਟ ਜਨਰੇਸ਼ਨ ਮੋਡ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ "ਗ੍ਰਾਸਸ਼ਪਰ" ਇਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਾਂ):

#crypto ipsec transform-set GOST esp-gost341215k-mac

ਅਸੀਂ ਇੱਕ ਕ੍ਰਿਪਟੋ ਨਕਸ਼ਾ ਬਣਾਉਂਦੇ ਹਾਂ, ACL ਨਿਰਧਾਰਤ ਕਰਦੇ ਹਾਂ, ਸੈੱਟ ਅਤੇ ਪੀਅਰ ਐਡਰੈੱਸ ਨੂੰ ਬਦਲਦੇ ਹਾਂ:

#crypto ਨਕਸ਼ਾ MAIN 100 ipsec-isakmp
# ਮੈਚ ਐਡਰੈੱਸ ਸਾਈਟ 1
#set transform-set GOST
# ਸੈੱਟ ਪੀਅਰ 10.111.22.3

ਅਸੀਂ ਕ੍ਰਿਪਟੋ ਕਾਰਡ ਨੂੰ ਕੈਸ਼ ਰਜਿਸਟਰ ਦੇ ਬਾਹਰੀ ਇੰਟਰਫੇਸ ਨਾਲ ਜੋੜਦੇ ਹਾਂ:

#ਇੰਟਰਫੇਸ GigabitEthernet0/0
#ip ਪਤਾ 10.111.21.3 255.255.255.0
#crypto ਨਕਸ਼ਾ MAIN

ਹੋਰ ਸਾਈਟਾਂ ਨਾਲ ਚੈਨਲਾਂ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰਨ ਲਈ, ਤੁਹਾਨੂੰ ACL ਅਤੇ ਕ੍ਰਿਪਟੋ ਕਾਰਡ ਬਣਾਉਣ, ACL ਨਾਮ, IP ਪਤੇ ਅਤੇ ਕ੍ਰਿਪਟੋ ਕਾਰਡ ਨੰਬਰ ਬਦਲਣ ਦੀ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਦੁਹਰਾਉਣਾ ਚਾਹੀਦਾ ਹੈ।

ਧਿਆਨ ਦੇਵੋ! ਜੇਕਰ CRL ਦੁਆਰਾ ਪ੍ਰਮਾਣ-ਪੱਤਰ ਤਸਦੀਕ ਦੀ ਵਰਤੋਂ ਨਹੀਂ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਇਹ ਸਪਸ਼ਟ ਤੌਰ 'ਤੇ ਨਿਸ਼ਚਿਤ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ:

#crypto pki ਟਰੱਸਟਪੁਆਇੰਟ s-terra_technological_trustpoint
#ਰੈਵੋਕੇਸ਼ਨ-ਚੈੱਕ ਕੋਈ ਨਹੀਂ

ਇਸ ਮੌਕੇ 'ਤੇ, ਸੈੱਟਅੱਪ ਨੂੰ ਪੂਰਾ ਮੰਨਿਆ ਜਾ ਸਕਦਾ ਹੈ. ਸਿਸਕੋ-ਵਰਗੇ ਕੰਸੋਲ ਕਮਾਂਡ ਆਉਟਪੁੱਟ ਵਿੱਚ ਕ੍ਰਿਪਟੋ isakmp sa ਦਿਖਾਓ и ਕ੍ਰਿਪਟੋ ipsec sa ਦਿਖਾਓ IPSec ਦੇ ਬਣਾਏ ਗਏ ਪਹਿਲੇ ਅਤੇ ਦੂਜੇ ਪੜਾਅ ਨੂੰ ਪ੍ਰਤੀਬਿੰਬਿਤ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ। ਇਹੀ ਜਾਣਕਾਰੀ ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਪ੍ਰਾਪਤ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ sa_mgr ਸ਼ੋਅ, ਡੇਬੀਅਨ ਸ਼ੈੱਲ ਤੋਂ ਚਲਾਇਆ ਗਿਆ। ਕਮਾਂਡ ਆਉਟਪੁੱਟ ਵਿੱਚ cert_mgr ਸ਼ੋਅ ਰਿਮੋਟ ਸਾਈਟ ਸਰਟੀਫਿਕੇਟ ਦਿਖਾਈ ਦੇਣੇ ਚਾਹੀਦੇ ਹਨ। ਅਜਿਹੇ ਸਰਟੀਫਿਕੇਟਾਂ ਦੀ ਸਥਿਤੀ ਹੋਵੇਗੀ ਰਿਮੋਟ. ਜੇਕਰ ਸੁਰੰਗਾਂ ਨਹੀਂ ਬਣਾਈਆਂ ਜਾ ਰਹੀਆਂ ਹਨ, ਤਾਂ ਤੁਹਾਨੂੰ VPN ਸੇਵਾ ਲੌਗ ਨੂੰ ਦੇਖਣ ਦੀ ਲੋੜ ਹੈ, ਜੋ ਕਿ ਫਾਈਲ ਵਿੱਚ ਸਟੋਰ ਕੀਤਾ ਗਿਆ ਹੈ /var/log/cspvpngate.log. ਲੌਗ ਫਾਈਲਾਂ ਦੀ ਇੱਕ ਪੂਰੀ ਸੂਚੀ ਉਹਨਾਂ ਦੀ ਸਮੱਗਰੀ ਦੇ ਵੇਰਵੇ ਨਾਲ ਦਸਤਾਵੇਜ਼ ਵਿੱਚ ਉਪਲਬਧ ਹੈ।

ਸਿਸਟਮ ਦੀ "ਸਿਹਤ" ਦੀ ਨਿਗਰਾਨੀ

S-Terra CC ਨਿਗਰਾਨੀ ਲਈ ਸਟੈਂਡਰਡ snmpd ਡੈਮਨ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਆਮ ਲੀਨਕਸ ਪੈਰਾਮੀਟਰਾਂ ਤੋਂ ਇਲਾਵਾ, ਬਾਕਸ ਦੇ ਬਾਹਰ S-Terra CISCO-IPSEC-FLOW-MONITOR-MIB ਦੇ ਅਨੁਸਾਰ IPSec ਸੁਰੰਗਾਂ ਬਾਰੇ ਡੇਟਾ ਜਾਰੀ ਕਰਨ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ ਅਸੀਂ IPSec ਸੁਰੰਗਾਂ ਦੀ ਸਥਿਤੀ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨ ਵੇਲੇ ਵਰਤਦੇ ਹਾਂ। ਕਸਟਮ OIDs ਦੀ ਕਾਰਜਕੁਸ਼ਲਤਾ ਜੋ ਸਕ੍ਰਿਪਟ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੇ ਨਤੀਜਿਆਂ ਨੂੰ ਮੁੱਲਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਆਊਟਪੁੱਟ ਦਿੰਦੀ ਹੈ, ਵੀ ਸਮਰਥਿਤ ਹੈ। ਇਹ ਵਿਸ਼ੇਸ਼ਤਾ ਸਾਨੂੰ ਸਰਟੀਫਿਕੇਟ ਦੀ ਮਿਆਦ ਪੁੱਗਣ ਦੀਆਂ ਤਾਰੀਖਾਂ ਨੂੰ ਟਰੈਕ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ। ਲਿਖਤੀ ਸਕ੍ਰਿਪਟ ਕਮਾਂਡ ਆਉਟਪੁੱਟ ਨੂੰ ਪਾਰਸ ਕਰਦੀ ਹੈ cert_mgr ਸ਼ੋਅ ਅਤੇ ਨਤੀਜੇ ਵਜੋਂ ਸਥਾਨਕ ਅਤੇ ਰੂਟ ਸਰਟੀਫਿਕੇਟ ਦੀ ਮਿਆਦ ਪੁੱਗਣ ਤੱਕ ਦਿਨਾਂ ਦੀ ਸੰਖਿਆ ਦਿੰਦਾ ਹੈ। ਵੱਡੀ ਗਿਣਤੀ ਵਿੱਚ CABGs ਦਾ ਪ੍ਰਬੰਧਨ ਕਰਨ ਵੇਲੇ ਇਹ ਤਕਨੀਕ ਲਾਜ਼ਮੀ ਹੈ।

ਅਜਿਹੇ ਐਨਕ੍ਰਿਪਸ਼ਨ ਦਾ ਕੀ ਫਾਇਦਾ ਹੈ?

ਉੱਪਰ ਦੱਸੀ ਗਈ ਸਾਰੀ ਕਾਰਜਸ਼ੀਲਤਾ S-Terra KSh ਦੁਆਰਾ ਬਾਕਸ ਦੇ ਬਾਹਰ ਸਮਰਥਿਤ ਹੈ। ਭਾਵ, ਕਿਸੇ ਵੀ ਵਾਧੂ ਮੈਡਿਊਲ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨ ਦੀ ਕੋਈ ਲੋੜ ਨਹੀਂ ਸੀ ਜੋ ਕ੍ਰਿਪਟੋ ਗੇਟਵੇ ਦੇ ਪ੍ਰਮਾਣੀਕਰਣ ਅਤੇ ਸਮੁੱਚੀ ਸੂਚਨਾ ਪ੍ਰਣਾਲੀ ਦੇ ਪ੍ਰਮਾਣੀਕਰਨ ਨੂੰ ਪ੍ਰਭਾਵਤ ਕਰ ਸਕਦੀ ਹੈ। ਸਾਈਟਾਂ ਵਿਚਕਾਰ ਕੋਈ ਵੀ ਚੈਨਲ ਹੋ ਸਕਦਾ ਹੈ, ਇੱਥੋਂ ਤੱਕ ਕਿ ਇੰਟਰਨੈਟ ਰਾਹੀਂ ਵੀ।

ਇਸ ਤੱਥ ਦੇ ਕਾਰਨ ਕਿ ਜਦੋਂ ਅੰਦਰੂਨੀ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਬਦਲਦਾ ਹੈ, ਕ੍ਰਿਪਟੋ ਗੇਟਵੇਜ਼ ਨੂੰ ਮੁੜ ਸੰਰਚਿਤ ਕਰਨ ਦੀ ਕੋਈ ਲੋੜ ਨਹੀਂ ਹੁੰਦੀ ਹੈ, ਸਿਸਟਮ ਇੱਕ ਸੇਵਾ ਦੇ ਤੌਰ ਤੇ ਕੰਮ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ ਗਾਹਕ ਲਈ ਬਹੁਤ ਸੁਵਿਧਾਜਨਕ ਹੈ: ਉਹ ਆਪਣੀਆਂ ਸੇਵਾਵਾਂ (ਕਲਾਇੰਟ ਅਤੇ ਸਰਵਰ) ਕਿਸੇ ਵੀ ਪਤੇ 'ਤੇ ਰੱਖ ਸਕਦਾ ਹੈ, ਅਤੇ ਸਾਰੀਆਂ ਤਬਦੀਲੀਆਂ ਗਤੀਸ਼ੀਲ ਤੌਰ 'ਤੇ ਏਨਕ੍ਰਿਪਸ਼ਨ ਉਪਕਰਣਾਂ ਵਿਚਕਾਰ ਟ੍ਰਾਂਸਫਰ ਕੀਤੀਆਂ ਜਾਣਗੀਆਂ।

ਬੇਸ਼ੱਕ, ਓਵਰਹੈੱਡ ਲਾਗਤਾਂ (ਓਵਰਹੈੱਡ) ਦੇ ਕਾਰਨ ਐਨਕ੍ਰਿਪਸ਼ਨ ਡਾਟਾ ਟ੍ਰਾਂਸਫਰ ਦੀ ਗਤੀ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦੀ ਹੈ, ਪਰ ਸਿਰਫ ਥੋੜ੍ਹਾ - ਚੈਨਲ ਥ੍ਰਰੂਪੁਟ ਵੱਧ ਤੋਂ ਵੱਧ 5-10% ਤੱਕ ਘਟ ਸਕਦਾ ਹੈ। ਇਸ ਦੇ ਨਾਲ ਹੀ, ਤਕਨਾਲੋਜੀ ਦੀ ਜਾਂਚ ਕੀਤੀ ਗਈ ਹੈ ਅਤੇ ਸੈਟੇਲਾਈਟ ਚੈਨਲਾਂ 'ਤੇ ਵੀ ਚੰਗੇ ਨਤੀਜੇ ਦਿਖਾਏ ਗਏ ਹਨ, ਜੋ ਕਿ ਕਾਫ਼ੀ ਅਸਥਿਰ ਹਨ ਅਤੇ ਘੱਟ ਬੈਂਡਵਿਡਥ ਹਨ।

ਇਗੋਰ ਵਿਨੋਖੋਡੋਵ, ਰੋਸਟੇਲੀਕਾਮ-ਸੋਲਰ ਦੇ ਪ੍ਰਸ਼ਾਸਨ ਦੀ ਦੂਜੀ ਲਾਈਨ ਦਾ ਇੰਜੀਨੀਅਰ

ਸਰੋਤ: www.habr.com

ਅਸੀਂ GOST ਦੇ ਅਨੁਸਾਰ ਐਨਕ੍ਰਿਪਟ ਕਰਦੇ ਹਾਂ: ਗਤੀਸ਼ੀਲ ਟ੍ਰੈਫਿਕ ਰੂਟਿੰਗ ਸਥਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਗਾਈਡ