Настройка IPsec туннелей на модуле мало отличается от настройки в IOS. B CLI модуля можно использовать те же команды и синтаксис, как и в IOS.
Будем предполагать, что инициализация программного обеспечения уже выполнена так, что модуль имеет нужные IP-адреса на интерфейсах.
Для примера настройки S-Terra Gate соберем стенд (Рисунок 4). Сценарий иллюстрирует построение защищенного соединения между двумя подсетями SN1 и SN2, которые защищаются шлюзами безопасности в виде модуля Cisco. Для защиты будет построен VPN туннель между устройствами модуль Cisco-1 и модуль Cisco-2. Устройства IPHost1 и IPHost2 смогут общаться между собой по защищенному каналу (VPN). Все остальные соединения разрешены, но защищаться не будут. Маршрутизаторы Cisco будут настроены статически NAT-ировать внутренние адреса модулей Cisco в свои внешние secondary-адреса.
В рамках данного сценария для аутентификации партнеры будут использовать сертификаты. В качестве криптопровайдера будет использован «КриптоПро CSP» версии 3.6R4. Модуль Cisco с ПО С-Терра Шлюз 4.1.
Параметры защищенного соединения:
· IKE параметры:
· Аутентификация на сертификатах – GOST R 34.10-2001 Signature;
· Алгоритм шифрования – GOST 28147-89 Encryption;
· Алгоритм вычисления хеш-функции – GOST R 34.11-94 Hash;
· Группа Диффи-Хеллмана – VKO GOST R 34.10-2001;
· IPsec параметры:
· ESP алгоритм шифрования – ESP_GOST-4M-IMIT cipher.
Рисунок 4