IP-адреса для интерфейсов рекомендуется настроить через cisco-like консоль.
Шаг 1: для входа в консоль запустите cs_console:
root@sterragate:~# cs_console
sterragate>en
Password: (по умолчанию – csp)
Шаг 2: перейдите в режим настройки:
sterragate#conf t
Шаг 3: в настройках интерфейсов задайте IP-адреса:
sterragate(config)#interface GigabitEthernet 0/0
sterragate(config-if)#ip address 192.168.100.2 255.255.255.0
sterragate(config-if)#no shutdown
sterragate(config-if)#exit
sterragate(config)#interface GigabitEthernet 0/2
sterragate(config-if)#ip address 192.168.1.1 255.255.255.0
sterragate(config-if)#no shutdown
sterragate(config-if)#exit
Шаг 4: задайте адрес шлюза по умолчанию:
sterragate(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.1
Шаг 5: выйдите из cisco-like интерфейса:
sterragate(config)#end
sterragate#exit
Шаг6: далее сменим название шлюза:
sterragate(config)#hostname GW1
Шаг7: задайте тип идентификации:
GW1(config)#crypto isakmp identity dn
Шаг 8: задайте параметры для IKE:
GW1(config)#crypto isakmp policy 1
GW1(config-isakmp)#hash gost
GW1(config-isakmp)#encryption gost
GW1(config-isakmp)#authentication gost-sig
GW1(config-isakmp)#group vko
GW1(config-isakmp)#exit
Шаг 9: создайте набор преобразований для IPsec:
GW1(config)#crypto ipsec transform-set TSET esp-gost28147-4m-imit
GW1(cfg-crypto-trans)#mode tunnel
GW1(cfg-crypto-trans)#exit
Шаг 10: задайте пул, из которого будет выдан адрес клиенту:
GW1(config)#ip local pool POOL 192.168.11.1 192.168.11.254
Шаг 11: опишите трафик, который планируется защищать. Для этого создайте расширенный список доступа:
GW1(config)#ip access-list extended LIST
GW1(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.11.0 0.0.0.255
GW1(config-ext-nacl)#exit
Шаг12: создайте динамическую крипто-карту:
GW1(config)#crypto dynamic-map DMAP 1
GW1(config-crypto-map)#match address LIST
GW1(config-crypto-map)#set transform-set TSET
GW1(config-crypto-map)#set pfs vko
GW1(config-crypto-map)#set pool POOL
GW1(config-crypto-map)#reverse-route
GW1(config-crypto-map)#exit
Шаг 13: привяжите динамическую карту к статической:
GW1(config)#crypto map CMAP 1 ipsec-isakmp dynamic DMAP
Шаг 14: привяжите крипто-карту к интерфейсу, на котором будет туннель:
GW1(config)#interface GigabitEthernet 0/0
GW1(config-if)#crypto map CMAP
GW1(config-if)#exit
Шаг 15: отключите обработку списка отозванных сертификатов (CRL):
GW1(config)#crypto pki trustpoint s-terra_technological_trustpoint
GW1(ca-trustpoint)#revocation-check none
GW1(ca-trustpoint)#exit
Шаг 16: настройка устройства GW1 в cisco-like консоли завершена. При выходе из конфигурационного режима происходит загрузка конфигурации:
GW1(config)#end
GW1#exit