Предполагается, что к данному моменту уже проведены начальные настройки шифрования: указаны значения глобальных параметров и параметров, требуемых для построения туннелей с Spoke1 и Client1. Посмотреть пример начальной конфигурации можно в пункте «Конфигурации шлюза Hub1» приложения. В данной главе будет описано только то, что требуется добавить в начальную конфигурацию.

Перейдите в режим конфигурирования Cisco-like консоли:

root@Hub1:~# su cscons

Hub1#

Hub1#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

1.    Создайте вторую политику, описывающую параметры IKE туннеля:

Hub1(config)#crypto isakmp policy 2

Hub1(config-isakmp)#encryption gost

Hub1(config-isakmp)#hash gost341112-256-tc26

Hub1(config-isakmp)#authentication gost-sig

Hub1(config-isakmp)#group vko2

Hub1(config-isakmp)#exit

2.    Создайте расширенные списки доступа (ACL) для трафика, который требуется защищать (трафик до филиала 2):

Hub1(config)#ip access-list extended IPSEC_ACl_HUB1_AND_SPOKE2

Hub1(config-ext-nacl)#permit ip 192.168.100.0 0.0.0.255 192.168.2.0 0.0.0.255

Hub1(config-ext-nacl)#exit

Hub1(config)#

 

Предполагается, что список доступа IPSEC_ACl_HUB1_AND_CLIENTS для VPN-клиентов уже создан.

3.    Создайте список идентификаторов, которому должен удовлетворять сертификат партнеров (Spoke2 и Client2):

Hub1(config)#crypto identity New_CA

Hub1(config-crypto-identity)#dn OU=RnD NEW

Hub1(config-crypto-identity)#exit

Hub1(config)#

4.    Измените конфигурацию криптокарт:

4.1.     Создайте во 2ом разделе VPN статическую криптокарту для подсети филиала 2, убрав предварительно из раздела 2 список динамических криптокарт DMAP;

4.2.     Создайте динамическую криптокарту для VPN-клиентов с новыми сертификатами в 1ом разделе DMAP, указав в ней при этом созданный ранее идентификатор «New_CA» (set identity New_CA). Использованную ранее криптокарту для VPN-клиентов со старым сертификатом поместите во 2ой раздел DMAP.

4.3.     Подключите получившийся список DMAP в 3ий раздел VPN.

Было:

crypto dynamic-map DMAP 1

 match address IPSEC_ACl_HUB1_AND_CLIENTS

 set transform-set GOST_ENCRYPT_AND_INTEGRITY

 set pool IKECFG_POOL

 reverse-route

 set dead-connection history off

!

crypto map VPN 1 ipsec-isakmp

 match address IPSEC_ACl_HUB1_AND_SPOKE1

 set transform-set GOST_ENCRYPT_AND_INTEGRITY

 set peer 172.16.1.2

 set dead-connection history off

crypto map VPN 2 ipsec-isakmp dynamic DMAP

Стало:

crypto dynamic-map DMAP 1

 match address IPSEC_ACl_HUB1_AND_CLIENTS

 set transform-set GOST_ENCRYPT_AND_INTEGRITY

 set pool IKECFG_POOL

 set identity New_CA

 set dead-connection history off

 set certificate local credential C=RU,L=Zelenograd,O=S-Terra CSP,OU=RnD NEW,CN=Hub1

crypto dynamic-map DMAP 2

 match address IPSEC_ACl_HUB1_AND_CLIENTS

 set transform-set GOST_ENCRYPT_AND_INTEGRITY

 set pool IKECFG_POOL

 set dead-connection history off

 set certificate local credential C=RU,L=Zelenograd,O=S-Terra CSP,OU=RnD,CN=Hub1

!

crypto map VPN 1 ipsec-isakmp

 match address IPSEC_ACl_HUB1_AND_SPOKE1

 set transform-set GOST_ENCRYPT_AND_INTEGRITY

 set peer 172.16.1.2

 set dead-connection history off

 set certificate local credential C=RU,L=Zelenograd,O=S-Terra CSP,OU=RnD,CN=Hub1

crypto map VPN 2 ipsec-isakmp

 match address IPSEC_ACl_HUB1_AND_SPOKE2

 set transform-set GOST_ENCRYPT_AND_INTEGRITY

 set identity New_CA

 set peer 172.16.2.2

 set dead-connection history off

 set certificate local credential C=RU,L=Zelenograd,O=S-Terra CSP,OU=RnD NEW,CN=Hub1

crypto map VPN 3 ipsec-isakmp dynamic DMAP