При старте программно-аппаратного комплекса после загрузки
ОС появляется предупреждение
"System is not initialized. Please run “initialize” command to start initialization
procedure" и приглашение для входа в ОС.
Во время процедуры инициализации помимо ввода лицензионной информации и инициализации ДСЧ выполняется настройка IPSM (Internet Protocol Security Module). Параметры настройки IPSM записываются в конфигурационный файл /opt/VPNagent/etc/ipsm_dpdk.cfg. Пример настройки IPSM можно посмотреть в сценарии «Построение VPN туннеля между двумя сегментами одной сети, защищаемыми шлюзами «С-Терра Шлюз 10G». В документе «Настройка шлюза 10G» в разделе «Настройка конфигурационного файла ipsm_dpdk.cfg» приведено подробное описание файла ipsm_dpdk.cfg, в разделе «Сетевые интерфейсы» представлено соответствие физических интерфейсов на передней панели АП на базе Lanner их наименованию в ОС и cisco-like консоли.
Запустите команду initialize для старта процедуры начальной инициализации S-Terra Gate.
administrator@sterragate] initialize
Во время выполнения, инициализационный скрипт может быть прерван нажатием комбинации клавиш Ctrl+C. При возникновении ошибки процесс инициализации прерывается и на экран выдается сообщение об ошибке.
Ниже описаны действия, выполняемые в процессе инициализации С-Терра Шлюз 10G.
1. Инициализируется ДСЧ:
2. Запрашивается лицензионная информация на S-Terra Gate (эти данные можно взять из «Лицензии на использование программного продукта компании ООО «С-Терра СиЭсПи», входящей в комплект поставки):
You have to enter license for S-Terra Gate DP
Предлагаются следующие пункты для ввода:
Available product codes:
GATE
GATEESR
GATEDP
MVPN
Enter product code: – введите код продукта – GATEDP.
Enter customer code: – введите код конечного пользователя.
Enter license number: – введите номер лицензии.
Enter license code: – введите код лицензии.
Следует вопрос о корректности введенных данных:"Is the above data correct?". После получения подтверждения инициализация продолжается. Если подтверждение не получено, то предлагается ввести Лицензию еще раз.
3. Далее выполняется настройка IPSM (Internet Protocol Security Module). Останавливается работа ipsm-app демона, выполняющего перехват пакетов. Запускается скрипт configure_dp.sh.
Configuring IPSM:
Trying to load drivers:
This script will stop ipsmapp daemon and create new ipsm_pdk.cfg. All ipsmapp settings will be reset. Do you want to continue? [Yes]
Пользователю интерактивно задается ряд вопросов (в прямоугольных скобках предлагается значение по умолчанию) и, в соответствии с введенными параметрами, создается новый конфигурационный файл /opt/VPNagent/etc/ipsm_dpdk.cfg:
Задайте количество вычислительных потоков (предлагаемые цифры зависят от количества процессорных модулей и используемых сетевых портов, максимально возможное количество потоков – 248), например:
threads (1-2) [2]:
Параметр threads должен быть одинаковым для партнёров по соединению.
Далее выводятся адреса интерфейсов сетевых карт (10G) на шине PCI, которые предлагается настроить, например:
Port# pci_id Configured
- 03:00.0
- 0b:00.0
- 13:00.0
Интерфейсы должны работать в паре при передаче трафика. Один из пары интерфейсов надо настроить для подключения к внешней сети (WAN), другой для подключения к защищаемой сети (LAN).
При помощи скрипта configure_dp.sh возможно настроить только одну пару интерфейсов. Если требуется настроить большее количество пар интерфейсов, то следует вручную отредактировать файл ipsm_dpdk.cfg.
Укажите адрес порта для подключения к внешней сети, например:
Enter pci_id for WAN interface : 03:00.0
Введите IP-адрес внешнего интерфейса.
Enter IP-address for WAN interface (l3_ip):
Введите маску подсети для внешнего интерфейса.
Enter netmask for WAN interface (l3_mask) (0-32) [24]:
Введите IP-адрес шлюза по умолчанию. (Используется для определения destination MAC-адреса исходящих кадров ethernet за исключением декапсулированных из EtherIP).
Enter default gateway IP-address (gw_ip):
Настройки одного интерфейса выполнены (в конфигурационном файле ipsm_dpdk.cfg будет создана секция PORTn, содержащая заданные выше параметры), о чем выдается сообщение, например:
Port# pci_id Configured
PORT0 03:00.0 *
- 0b:00.0
- 13.00.0
Далее необходимо настроить порт для подключения к локальной сети.
Укажите адрес порта для подключения к локальной сети, который будет работать в паре с уже заданным портом, например:
Enter pci_id to pair with 03:00.0: 0b:00.0
Введите исходящий IP-адрес для L2 туннеля.
Enter source IP-address for l2-tunnel (l2_src_ip):
Введите IP-адрес назначения для L2 туннеля.
Enter destination IP-address for l2-tunnel (l2_dst_ip):
Задайте MTU для WAN интерфейса.
Enter MTU for WAN interface (68-9710) [9710]:
Задайте MTU для LAN интерфейса.
Enter MTU for LAN interface (68-9710) [9610]:
На этом настройка IPSM закончена.
SUCCESS: Operation was successful.
Port# pci_id Configured
PORT0 03:00.0 *
PORT1 0b:00.0 *
- 13:00.0
OK
Заданные настройки будут использованы при создании конфигурационного файла ipsm_dpdk.cfg. Эти настройки минимально необходимые. Возможно ручное редактирование конфигурационного файла для оптимизации работы шлюза. Подробное описание файла ipsm_dpdk.cfg приведено в документе «Настройка шлюза 10G».
Примечание: впоследствии, при необходимости изменить сделанные при инициализации настройки, можно вручную запустить скрипт opt/VPNagent/bin/configure_dp.sh.
4. Выполняется запуск демонов:
Starting IPSM daemon.......... done.
Starting VPN log daemon.. done.
Starting IPsec daemon............ done.
Если инициализация завершилась успешно, то выдается сообщение: "Initialization completed".
Если инициализация завершилась неуспешно, то об этом выдаётся соответствующее сообщение. При следующем старте комплекса администратору снова будет выдаваться предупреждение об инициализации.
Программный комплекс S-Terra Gate размещается в каталог /opt/VPNagent.
При инициализации S-Terra Gate устанавливается политика безопасности DDP, при которой интерфейсы шлюза безопасности не пропускают пакеты – Default Driver Policy = Dropall. Выдается информационное сообщение:
Network traffic is blocked.
To unblock network traffic, please setup the network security policy
or use "run csconf_mgr activate" command to activate the predefined
permissive network security policy now.
Примечание. После инициализации программного комплекса, в случае исполнения Продукта класса защиты КС1 и КС2, автоматически запускается утилита cspvpn_verify для проверки целостности установленного Продукта S-Terra Gate, которая описана в документе «Специализированные команды». При нарушении целостности восстановите содержимое жесткого диска ПАК из образа жесткого диска, который входит в комплект поставки. Выполните эту процедуру согласно документу – «Инструкции по восстановлению и обновлению ПАК».
Пользователь находится в режиме разграничения доступа (S-Terra administrative console), который обеспечивает утилита auth_login. Подробнее смотрите документ «Консоль разграничения доступа» (Administrative_console.pdf).
В зависимости от класса защиты, для разграничения прав пользователей на доступ к операционной системе и управлению программным комплексом, администратор может разделить пользователей на привилегированных и непривилегированных и установить для них пароли. Создать пользователя с определенным уровнем доступа можно при помощи команд подробно описанных в документе «Консоль разграничения доступа», раздел «Команды уровня администратора». Изначально в системе присутствует пользователь administrator (пароль – s-terra). Рекомендуется сменить пароль этого пользователя.
Далее рекомендуется ознакомиться с информацией, описанной в документе «Настройка шлюза 10G».
Для перехода в cisco-like консоль используется команда configure (документ «Консоль разграничения доступа», раздел «Команды уровня администратора»).
По этой команде осуществляется запуск исполняемого файла cs_console (интерфейс командной строки Cisco-like).
Подробная документация по работе с cisco-like консолью – «Cisco-like команды».