Настройку шлюза безопасности GW1 (путем задания политики безопасности) будем выполнять в интерфейсе командной строки.
Шаг 1: для входа в консоль перейдите в каталог /opt/VPNagent/bin/ и запустите cs_console:
root@sterragate:~# cs_console
sterragate>en
Password:(по умолчанию – csp)
sterragate#conf t – переходим в режим настройки
sterragate(config)#hostname GW1 – сменим название шлюза
GW1(config)#crypto isakmp identity dn – зададим тип идентификации
Шаг 2: задайте параметры для протокола IKE:
GW1(config)#crypto isakmp policy 1
GW1(config-isakmp)#hash gost
GW1(config-isakmp)#encryption gost
GW1(config-isakmp)#authentication gost-sig
GW1(config-isakmp)#group vko
GW1(config-isakmp)#exit
Шаг 3: создайте набор преобразований для IPsec:
GW1(config)#crypto ipsec transform-set TSET esp-gost28147-4m-imit
GW1(cfg-crypto-trans)#mode tunnel
GW1(cfg-crypto-trans)#exit
Шаг 4: опишите трафик, который планируется защищать. Для этого создайте расширенный список доступа:
GW1(config)#ip access-list extended LIST
GW1(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
GW1(config-ext-nacl)#exit
Шаг 5: создайте крипто-карту:
GW1(config)#crypto map CMAP 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
GW1(config-crypto-map)#match address LIST
GW1(config-crypto-map)#set transform-set TSET
GW1(config-crypto-map)#set pfs vko
GW1(config-crypto-map)#set peer 10.0.0.2
GW1(config-crypto-map)#exit
Шаг 6: привяжите крипто-карту к интерфейсу, на котором будет туннель:
GW1(config)#interface GigabitEthernet 0/0
GW1(config-if)#crypto map CMAP
GW1(config-if)#exit
Шаг 7: отключите обработку списка отозванных сертификатов (CRL):
GW1(config)#crypto pki trustpoint s-terra_technological_trustpoint
GW1(ca-trustpoint)#revocation-check none
GW1(ca-trustpoint)#exit
Шаг 8: настройка устройства GW1 в cisco-like консоли завершена. При выходе из конфигурационного режима происходит загрузка конфигурации:
GW1(config)#end
GW1#exit
Если в конфигурационном режиме запустить команду show running-config, то получим полный текст cisco-like конфигурации.