Настройку начните со шлюза безопасности GW1.

После полной загрузки шлюза пользователь попадает в S-Terra administrative console.

S-Terra administrative console

 

login as:

1.    Пройдите процедуру аутентификации (пользователь по умолчанию – administrator), пароль по умолчанию – s-terra).

login as: administrator

administrator's password:

##############################################################

System is not initialized. Please run "initialize" command to start initialization procedure.

##############################################################

 

administrator@sterragate]

2.    Смените пароль на S-Terra administrative console (команда change user password):

administrator@sterragate] change user password

Old user password:

New user password:

Re-type new password:

3.    Пройдите процедуру инициализации (команда initialize). При этом запустится интерактивный ДСЧ.

administrator@sterragate] initialize

Initializing RNG: (press requested keys or Ctrl+C to interrupt)

[****************]

Successfully initialized RNG

3.1.     Введите лицензию (product code – GATEDP):

You have to enter license for S-Terra Gate DP

Available product code:

 GATE

 GATEESR

 GATEDP

 MVPN

Enter product code: GATEDP

Enter customer code: CUSTOMER

Enter license number: 1234567890

Enter license code: 42000-123AB-123AB-123AB-123AB

...

Is this above data correct? yes

3.2.     Далее следуют настройки, которые изменят конфигурационный файл ipsm_dpdk.cfg:

"This script will stop ipsmapp daemon and create new ipsm_dpdk.cfg. All ipsmapp settings will be reset. Do you want to continue?" "Yes" yes

Restoring interfaces settings

3.3.     Введите количество тредов. Максимальное количество тредов равно количеству процессорных ядер в системе минус шесть. В данном сценарии используется 38 тредов, как значение по умолчанию для артикула 10G-4.2-1757-8-4-RED.

threads (1-38) [38] : 38

3.4.     Введите PCI ID WAN интерфейса (Рисунок 2):

Рисунок 2

Port#   pci_id          Configured

-       83:00.0

-       83:00.1

-       84:00.0

-       84:00.1

Enter pci_id for WAN interface : 83:00.0

3.5.     Введите исходящий IP-адрес (l3_ip). Данный адрес будет задан интерфейсу FastEthernet0/0 (FastEthernet0/0 – в cisco-like консоли или vEth0 – в Linux).

Enter IP-address for WAN interface (l3_ip): 10.1.1.1

3.6.     Введите маску подсети для данного IP-адреса (l3_mask), значение по умолчанию – 24:

Enter netmask for WAN interface (l3_mask) (0-32) [24]: 24

3.7.     Введите IP-адрес шлюза по умолчанию. Данный IP-адрес необходим для маршрутизации шифрованного трафика. Для маршрутизации трафика ОС используются маршруты из cisco-like конфигурации:

Enter default gateway IP-address (gw_ip): 10.1.1.2

3.8.     Есть возможность указать MAC-адрес следующего хопа (next_hop_mac), значение по умолчанию – нет:

Do you want to enter and enable next_hop_mac? [No] No

3.9.     Введите PCI ID LAN интерфейса, который будет использоваться в паре с настроенным ранее:

Port#   pci_id          Configured

PORT0   83:00.0         *

-       83:00.1

-       84:00.0

-       84:00.1

Enter pci_id to pair with 83:00.0 : 84:00.0

3.10.   Введите исходящий IP-адрес для L2 туннеля (l2_src_ip):

Enter source IP-address for l2-tunnel (l2_src_ip) : 172.16.0.1

3.11.   Введите IP-адрес назначения для L2 туннеля (l2_dst_ip):

Enter destination IP-address for l2-tunnel (l2_dst_ip): 172.16.0.2

3.12.   Введите MTU для WAN интерфейса, значение по умолчанию – 9710:

Enter MTU for WAN interface (68-9710) [9710] : 9710

3.13.   Введите MTU для LAN интерфейса, значение по умолчанию – 9610:

Enter MTU for LAN interface (68-9610) [9610] : 9610

SUCCESS:  Operation was successful:

Port#   pci_id          Configured

PORT0   83:00.0         *

-       83:00.1

PORT1   84:00.0         *

-       84:00.1

OK

 

Starting IPSM daemon……………done

Starting VPN log daemon……done

Starting IPsec daemon…………done

 

Initialization completed

Some settings will take effect after OS reboot only.

 

Network traffic is blocked.

To unblock network traffic, please setup the network security policy or use “run csconf_mgr activate” command to activate the predefined permissive network security policy now.

3.14.   Инициализация окончена. Конфигурация сохранена в файл /opt/VPNagent/etc/ipsm_dpdk.cfg.

3.15.   Для тестового использования политики драйвера по умолчанию безопасности необходимо выполнить команду run csconf_mgr activate.

Скрипт настройки ipsm_dpdk.cfg находится по следующему пути – /opt/VPNagent/bin/configure_dp.sh. Запустите данный скрипт при необходимости изменить конфигурацию, настроенную выше (начиная с п.3.2).

Более подробно консоль разграничения доступа S-Terra administrative console описана в документации.