Настройка шлюза безопасности модуля Cisco-1 (GW1)

IP-адреса для интерфейсов рекомендуется настроить через cisco-like консоль.

Шаг 1:         для входа в консоль запустите cs_console:

root@sterragate:~# cs_console  

sterragate>en 

Password: (по умолчанию – csp)

Шаг 2:         перейдите в режим настройки:

sterragate#conf  t 

Шаг 3:         в настройках интерфейсов задайте IP-адреса:

sterragate(config)#interface GigabitEthernet 0/0

sterragate(config-if)#ip address 192.168.100.2 255.255.255.0

sterragate(config-if)#no shutdown

sterragate(config-if)#exit

sterragate(config)#interface GigabitEthernet 0/2

sterragate(config-if)#ip address 192.168.1.1 255.255.255.0

sterragate(config-if)#no shutdown

sterragate(config-if)#exit

Шаг 4:         задайте адрес шлюза по умолчанию:

sterragate(config)#ip  route 0.0.0.0 0.0.0.0 192.168.100.1

Шаг 5:         выйдите из cisco-like интерфейса:

sterragate(config)#end

sterragate#exit

Шаг6:         далее сменим название шлюза:

sterragate(config)#hostname GW1

Шаг7:         задайте тип идентификации:

GW1(config)#crypto isakmp identity dn

Шаг 8:         задайте параметры для IKE:

GW1(config)#crypto isakmp policy 1

GW1(config-isakmp)#hash gost

GW1(config-isakmp)#encryption gost

GW1(config-isakmp)#authentication gost-sig

GW1(config-isakmp)#group vko

GW1(config-isakmp)#exit

Шаг 9:         создайте набор преобразований для IPsec:

GW1(config)#crypto ipsec transform-set TSET esp-gost28147-4m-imit

GW1(cfg-crypto-trans)#mode tunnel

GW1(cfg-crypto-trans)#exit 

Шаг 10:       задайте пул, из которого будет выдан адрес клиенту:

GW1(config)#ip local pool POOL 192.168.11.1 192.168.11.254

Шаг 11:       опишите трафик, который планируется защищать. Для этого создайте расширенный список доступа:

GW1(config)#ip access-list extended LIST

GW1(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.11.0 0.0.0.255

GW1(config-ext-nacl)#exit

Шаг12:       создайте динамическую крипто-карту:

GW1(config)#crypto dynamic-map DMAP 1

GW1(config-crypto-map)#match address LIST

GW1(config-crypto-map)#set transform-set TSET

GW1(config-crypto-map)#set pfs vko

GW1(config-crypto-map)#set pool POOL

GW1(config-crypto-map)#reverse-route

GW1(config-crypto-map)#exit 

Шаг 13:       привяжите динамическую карту к статической:

GW1(config)#crypto map CMAP 1 ipsec-isakmp dynamic DMAP

Шаг 14:       привяжите крипто-карту к интерфейсу, на котором будет туннель:

GW1(config)#interface GigabitEthernet 0/0

GW1(config-if)#crypto map CMAP

GW1(config-if)#exit 

Шаг 15:       отключите обработку списка отозванных сертификатов (CRL):

GW1(config)#crypto pki trustpoint s-terra_technological_trustpoint

GW1(ca-trustpoint)#revocation-check none

GW1(ca-trustpoint)#exit 

Шаг 16:       настройка устройства GW1 в cisco-like консоли завершена. При выходе из конфигурационного режима происходит загрузка конфигурации:

GW1(config)#end 

GW1#exit