При старте программно-аппаратного комплекса после загрузки ОС появляется предупреждение

**********************************************************************************************
"System is not initialized. Please run “initialize” command to start initialization procedure".

**********************************************************************************************

Ниже пошагово описаны действия, которые необходимо выполнить для инициализации С-Терра Шлюз DP.

Внимание!

Во время процедуры инициализации помимо ввода лицензионной информации и инициализации ДСЧ выполняется настройка IPSM (Internet Protocol Security Module). Параметры настройки IPSM записываются в конфигурационный файл /opt/VPNagent/etc/ipsm_dpdk.cfg. Пример настройки IPSM можно посмотреть в сценарии «Построение VPN туннеля между двумя сегментами одной сети, защищаемыми шлюзами «С-Терра Шлюз DP»». В документе «Настройка шлюза» в разделе «Настройка конфигурационного файла ipsm_dpdk.cfg» приведено подробное описание файла ipsm_dpdk.cfg, в разделе «Сетевые интерфейсы» представлено соответствие физических интерфейсов на передней панели АП на базе Lanner их наименованию в ОС и cisco-like консоли.

Шаг 1:      Выполните команду initialize для старта процедуры начальной инициализации С-Терра Шлюз.

administrator@sterragate] initialize

                Процедура инициализации может быть прервана нажатием комбинации клавиш Ctrl+C.

                При возникновении ошибки процесс инициализации прерывается и на экран выдается сообщение об ошибке.

Шаг 2:      Инициализируется ДСЧ.

                Для исполнений класса защиты КС1 проводится «биологическая» инициализация начального значения ДСЧ (нужно

                нажимать предлагаемые клавиши).

                                 Для исполнений класса защиты КС2 и КС3 инициализация начального значения ДСЧ выполняется без участия пользователя. (Если АПМДЗ функциональность ДСЧ не поддерживает, то для инициализации ДСЧ может применяться внешняя гамма. Использование внешней гаммы описано в документе «Настройка шлюза» в соответствующем разделе.)

Шаг 3:      Далее запрашивается лицензионная информация на С-Терра Шлюз DP (эти данные можно взять из «Лицензии на использование программного Продукта компании ООО «С-Терра СиЭсПи», входящей в комплект поставки):

You have to enter license for S-Terra Gate DP

                Предлагаются следующие пункты для ввода:

Available product codes:

GATE

GATEDP

MVPN

Enter product code: - введите код продукта - GATEDP.

Enter customer code: - введите код конечного пользователя

Enter license number: - введите номер лицензии

Enter license code: - введите код лицензии.

Шаг 4:      Следует вопрос о корректности введенных данных:"Is the above data correct?". После получения подтверждения инициализация продолжается без дополнительных вопросов. Если подтверждение не получено, то предлагается ввести Лицензию еще раз.

Шаг 5:      Далее выполняется настройка IPSM. Останавливается работа ipsm-app демона, выполняющего перехват пакетов. Запускается скрипт configure_dp.sh.

Configuring IPSM:

Trying to load drivers:

This script will stop ipsmapp daemon and create new ipsm_pdk.cfg. All ipsmapp settings will be reset. Doyou want to continue? [Yes]

                Пользователю интерактивно задается ряд вопросов (в прямоугольных скобках предлагается значение по умолчанию) и, в соответствии с введенными параметрами, создается новый конфигурационный файл ipsm-dpdk.cfg:

                Задайте чётное количество портов (предлагаемые цифры зависят от количества обнаруженных сетевых интерфейсов), например:

Enter amount of ports (2-4) [4]:

                Задайте количество вычислительных потоков (предлагаемые цифры зависят от количества процессорных модулей и используемых сетевых портов, максимально возможное количество потоков - 247), например:

threads (1-4) [4]:

                Параметр threads должен быть одинаковым для партнёров по соединению.

Шаг 6:      Далее выводятся адреса интерфейсов сетевых карт (10G) на шине PCI, которые предлагается настроить, например:

Port#     pci_id Configured

-            03:00.0

-            03:00.1

-            03:00.2

-            03:00.3

                Далее производится настройка пар портов:

ConfiguringPORT0

                Интерфейсы должны работать в паре при передаче трафика. Один из пары интерфейсов надо настроить для подключения к внешней сети (WAN), другой для подключения к защищаемой сети (LAN).

 Укажите адрес порта для подключения к внешней сети, например:

Enter pci_id for WAN interface : 03:00.0

Введите IP-адрес внешнего интерфейса.

Enter IP-address for WAN interface (l3_ip):

                Введите маску подсети для внешнего интерфейса.

Enter netmask for WAN interface (l3_mask) (1-31) [24]:

                Введите IP-адрес шлюза по умолчанию. (Используется для определения destination MAC-адреса исходящих кадров ethernet за исключением декапсулированных из EtherIP).

Enter default gateway IP-address (gw_ip):

                Настройки одного интерфейса выполнены (в конфигурационном файле ipsm-dpdk.cfg будет создана секция PORTn, содержащая заданные выше параметры), о чем выдается сообщение, например:

Port#               pci_id Configured

PORT0              03:00.0         *

-                      03:00.1

-                      03.00.2

-                      03:00.3

Шаг 7:      Далее необходимо настроить порт для подключения к локальной сети.

               Укажите адрес порта для подключения к локальной сети, который будет работать в паре с уже заданным портом, например:

Enter pci_id to pair with 03:00.0: 03:00.1

               Введите исходящий IP-адрес для L2 туннеля.

Enter source IP-address for l2-tunnel (l2_src_ip):

               Введите IP-адрес назначения для L2 туннеля.

Enter destination IP-address for l2-tunnel (l2_dst_ip):

               Задайте MTU для WAN интерфейса.

Enter MTU for WAN interface (68-9700) [9700]:

               Задайте MTU для LAN интерфейса.

Enter MTU for LAN interface (68-9700) [9700]:

               На этом настройка IPSM закончена.

SUCCESS:  Operation was successful.

Port#               pci_id           Configured

PORT0              03:00.0                  *

PORT1              03:00.1                  *

-                     03:00.2

-                     03:00.3

OK

 

Заданные настройки будут использованы при создании конфигурационного файла ipsm-dpdk.cfg. Эти настройки минимально необходимые. Возможно ручное редактирование конфигурационного файла для оптимизации работы шлюза.

Внимание!

Впоследствии, при необходимости изменить сделанные при инициализации настройки, можно вручную запустить скрипт ipsm-dpdk.cfg opt/VPNagent/bin/configure_dp.sh.

     

Шаг 8:      Выполняется запуск демонов:

Starting IPSM daemon.......... done.

Starting VPN log daemon.. done.

Starting IPsec daemon............ done.

                Если инициализация завершилась успешно, то выдается сообщение: ’Initialization completed’.

                Если инициализация завершилась неуспешно, то об этом выдаётся соответствующее сообщение. При следующем старте комплекса администратору снова будет выдаваться предупреждение об инициализации.

                Программный комплекс «С-Терра Шлюз DP ST. Версия 4.3» размещается в каталог /opt/VPNagent.

                При инициализации С-Терра Шлюз DP устанавливается политика безопасности, которая блокирует все пакеты (default driver policy - dropfall), об этом предупреждает информационное сообщение:

Network traffic is blocked.

To unblock network traffic, please setup the network security policy

or use "run csconf_mgr activate" command to activate the predefined

permissive network security policy now.

               Активируйте предустановленную политику безопасности, разрешающую прохождение любого трафика, при помощи команды run csconf_mgr activate и перейдите к настройке С-Терра Шлюз.

Внимание!

После инициализации программного комплекса, в случае исполнения Продукта класса защиты КС1 и КС2, автоматически запускается утилита cspvpn_verify для проверки целостности установленного Продукта, которая описана в документе «Специализированные команды». При нарушении целостности восстановите содержимое жесткого диска ПАК из образа жесткого диска, который входит в комплект поставки. Выполните эту процедуру согласно документу - «Инструкции по восстановлению и обновлению ПАК «С-Терра Шлюз»».

Шаг 9:      В консоли разграничения доступа смените пароль пользователя administrator, при необходимости создайте пользователей с разными ролями для разграничения прав доступа к управлению (см. документ «Консоль разграничения доступа», раздел «Команды уровня администратора».

Шаг 10:     Далее рекомендуется ознакомиться с информацией, описанной в документе «Настройка шлюза».

Для перехода в cisco-like консоль используется команда configure (документ «Консоль разграничения доступа», раздел «Команды уровня администратора»).

По этой команде осуществляется запуск исполняемого файла cs_console (интерфейс командной строки Cisco-like).

Подробная документация по работе с cisco-like консолью - «Cisco-like команды».