для чего используется команда route в криптошлюзе
Формат командной строки:
ROUTE [-f] [-p] [-4|-6] command [destination] [MASK netmask] [gateway] [METRIC metric] [IF interface]
Подсказку по параметрам командной строки можно получить используя встроенную справку ( route /? ):
Поиск всех символических имен узлов проводится в файле сетевой базы данных NETWORKS. Поиск символических имен шлюзов проводится в файле базы данных имен узлов HOSTS.
Для команд PRINT и DELETE можно указать узел и шлюз с помощью подстановочных знаков или опустить параметр «шлюз».
Примеры: 157.*.1, 157.*, 127.*, *224*.
Соответствие шаблону поддерживает только команда PRINT.
Если сетевой интерфейс (IF) не задан, то производится попытка найти лучший интерфейс для указанного шлюза.
Параметр CHANGE используется только для изменения шлюза или метрики.
Примеры использования команды ROUTE
Пример отображаемой таблицы:
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
| Сетевой адрес 0.0.0.0 127.0.0.0 . 224.0.0.0 | Маска сети 0.0.0.0 255.0.0.0 . 240.0.0.0 | Адрес шлюза 192.168.0.1 On-link . On-link | Интерфейс 192.168.0.2 127.0.0.1 . 192.168.0.2 | Метрика 266 306 . 266 |
===========================================================================
Постоянные маршруты:
| Сетевой адрес 0.0.0.0 | Маска 0.0.0.0 | Адрес шлюза 192.168.0.1 | Метрика По умолчанию |
===========================================================================
IPv6 таблица маршрута
===========================================================================
Активные маршруты:
| Метрика 1 40 19 20 20 1 | Сетевой адрес 306 ::1/128 276 fe80::/64 276 fe80::/64 276 fe80::/64 276 fe80::6034:c4a3:8e4e:b7a 306 ff00::/8 | Шлюз On-link On-link On-link On-link a/128 On-link /128 On-link 7/128 On-link On-link On-link On-link On-link |
===========================================================================
Постоянные маршруты:
Отсутствует
При обработке таблицы маршрутов, статические маршруты имеют высший приоритет, по сравнению с маршрутом, использующим для достижения конечной точки шлюз по умолчанию.
Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»
Использование команды route
Параметры загрузки
Содержание
Введение
В этом документе описывается использование команды route в ОС Microsoft Windows. Можно изменить эти сведения при устранении неполадок, связанных с программным обеспечением Cisco Intelligent Contact Management (ICM).
Предварительные условия
Требования
Компания Cisco рекомендует ознакомиться со следующими темами:
Устранение неполадок, связанных с Cisco ICM
Настройка TCP/IP и устранение соответствующих неполадок
Устранение неполадок, связанных с Microsoft Windows
Используемые компоненты
Этот документ не имеет жесткой привязки к какой-либо версии программного обеспечения или оборудования.
Microsoft Windows NT и 2000
Сведения, приводимые в этом документе, были получены на материале устройств в специальной лабораторной среде. Все описываемые в данном документе устройства были запущены со стандартными заводскими настройками. Если ваша сеть работает в реальных условиях, убедитесь, что вы понимаете потенциальное воздействие каждой команды.
Условные обозначения
Ознакомьтесь с документом Вспомогательные условные обозначения Cisco, в котором содержатся дополнительные сведения об условных обозначениях в документах.
Использование команды route
Команду route можно использовать для просмотра, добавления и удаления маршрутов на сервере Microsoft Windows NT, где функционирует Cisco ICM. Вместе с командой route можно использовать следующие параметры:
Параметры команды
В этом разделе описывается каждый из параметров, который можно использовать вместе с командой route.
Параметр -f приводит к удалению из таблиц маршрутизации всех записей шлюзов. Если использовать параметр -f вместе с одной из команд, таблицы будут очищены до выполнения команды.
По умолчанию маршруты не сохраняются при перезапуске системы. Используйте параметр -p с командой add для постоянного хранения маршрута. Используйте параметр -p с командой print для просмотра списка зарегистрированных постоянных маршрутов.
Параметр command служит для указания одной из шести команд в следующей таблице:
изменение существующего маршрута
указания компьютера, который будет являться назначением
указание маски подсети, которая будет связана с этой записью маршрута (маска подсети по умолчанию равняется 255.255.255.255)
Параметр destination служит для указания сетевого назначения маршрута. Это может быть сетевым IP-адресом, IP-адресом маршрута узла или маршрутом по умолчанию.
Параметр netmask – это 32-битовая маска, которую можно использовать для разделения IP-адреса на подсети и указания доступных узлов в сети. Если не указать маску подсети, будет использоваться значение по умолчанию 255.255.255.255.
Параметр gateway служит для указания шлюза по умолчанию. Все символьные имена, используемые для назначения или шлюза, ищутся в сети и файлах баз данных на компьютере NETWORKS и HOSTS. Если используется команда print или delete, можно указать подстановочные знаки для назначения и шлюза или можно не указывать шлюз.
Параметр metric служит для назначения целого значения в качестве стоимости или метрики (диапазон от 1 до 9999), которое можно использовать для расчета самого быстрого и надежного маршрута.
«IF« указывает индекс интерфейса для интерфейса, через который доступно назначение. Если не указать IF , будет предпринята попытка найти самый лучший интерфейс для данного шлюза.
Ниже представлен пример команды route.
Примеры
Чтобы просмотреть все содержимое таблицы маршрутизации IP, введите команду route print.
Чтобы просмотреть маршруты в таблице маршрутизации IP, которые начинаются с 172, введите команду route print 172.*.
Как прописать статический маршрут? И зачем он нужен?
В данной статье мы рассмотрим, что такое статический маршрут и зачем его вообще прописывать. Мы будем использовать так называемые «руты» или другими словами будем прописывать маршруты с помощью команды route add в командной строке Windows.
Прежде чем приступать к практике хотелось бы поговорить немного о теории, что бы Вы понимали, что Вы делаете, и в каких случаях это Вам может пригодиться.
Для начала пару определений:
В этой статье мы с Вами говорим, о статическом маршруте на обыкновенном компьютере с операционной системой Windows. Для чего же нам нужно уметь прописывать статические маршруты? спросите Вы, сейчас попробую объяснить, где это знание Вам может пригодиться.
Сейчас очень распространено для безопасности использовать «Виртуальные частные сети» (VPN). VPN используют как в организациях, для организации своей защищенной сети, так и провайдеры, для предоставления доступа, к глобальной сети Интернет, простым пользователям. Но, так или иначе, это иногда вызывает небольшие неудобства, как в организациях, так и у обычных пользователей.
Например, у Вас дома два компьютера, один из которых имеет доступ в Интернет по средствам VPN, также он соединен со вторым компьютером локальной сетью, и каждый раз, когда он подключается к Интернету, то связь между двумя компьютерами теряется, так как первый компьютер (который подключился к VPN) уже находится в другой сети, и поэтому недоступен со второго компа.
Это можно исправить как раз с помощью статического маршрута. Или другой случай, пригодится сисадминам, (пример из жизни) есть организация, у которой имеются небольшие удаленные офисы, связь с которыми идет по средствам OpenVPN. Был случай, когда мне пришлось узнать внешние ip адреса у этих удаленных офисов, я подключался к компьютеру по VPN сети и соответственно не мог узнать внешний ip, так как он мне бы показал внешний ip нашего VPN соединения. В итоге я просто на всего прописал один статический маршрут на удаленном компьютере, с помощью которого и попал на нужный мне сайт (который показывал внешний ip) и все. Есть, конечно, и другой вариант, съездить туда и узнать ip без подключения к VPN сети, но Вы сами понимаете, что на это нет времени и попросту неохота. Теперь Вы немного представляете, где и для чего Вам может пригодиться знание того, как прописываются статические маршруты.
Примеры использования утилиты route
Хватит теории, переходим к практике. Сейчас мы с Вами пропишем маршрут, который разрешит нам получить доступ к локальной сети при включенном VPN соединении, пригодится обычным пользователям, у которых дома более одного компьютера, а в Интернет выходят по средствам VPN.
Имеем локальную сеть: 192.168.1.0/24
IP адрес шлюза т.е. модема – 192.168.1.1
Нам нужно прописать маршрут на компьютере A, чтобы он смог видеть компьютер B при включенном VPN соединении. Делается это следующем образом: запускаем командную строку Пуск->Выполнить->cmd и набираем следующую команду:
route –p add 192.168.1.0 mask 255.255.255.0 192.168.1.1
If there are multiple physical adapters present in the network, Windows 7 will always look at and compare the indices of gateway metric among the physical adapters and then pick the one with the lowest index to use. In order to override the default settings, you need to adjust the index of gateway metric for each physical adapter. The adapter assigned with the lowest index will always take precedence and used by Windows 7 automatically. For instance, if you want to use the wired connection when both wired and wireless are available in your network. You need to assign the lower gateway metric index to your LAN card so that you can ensure that your favorite adapter will be used by Windows 7 whenever it is available. I mentioned how to use route change command to adjust gateway metric index. In this post, I will present you an easy way to do it without going to the command prompt.
Regardless of the IP address obtained automatically or statically, changing gateway metric can be done via either route change command or network connection GUI ( ncpa.cpl ).
When you use route print to verify your settings, the metric indices usually will double the number you enter.
Use netsh int ip show config will show the exact settings you will find in the network connection properties.
I hope you’ll find this information useful to you.
Формат командной строки:
ROUTE [-f] [-p] [-4|-6] command [destination] [MASK netmask] [gateway] [METRIC metric] [IF interface]
Подсказку по параметрам командной строки можно получить используя встроенную справку ( route /? ):
Поиск всех символических имен узлов проводится в файле сетевой базы данных NETWORKS. Поиск символических имен шлюзов проводится в файле базы данных имен узлов HOSTS.
Для команд PRINT и DELETE можно указать узел и шлюз с помощью подстановочных знаков или опустить параметр «шлюз».
Примеры: 157.*.1, 157.*, 127.*, *224*.
Соответствие шаблону поддерживает только команда PRINT.
Примеры использования команды ROUTE
Русские Блоги
Подробное объяснение команды route в настройке таблицы маршрутизации inux
Используйте команду route ниже, чтобы просмотреть таблицу маршрутизации ядра Linux.
Описание вывода команды route
3 типа маршрута
Маршрутизация хоста
Сетевая маршрутизация
Маршрут по умолчанию
Настроить статические маршруты
команда маршрута
Вы можете использовать команду route для установки и просмотра таблицы маршрутизации. Формат команды для установки таблицы маршрутизации ядра:
Примеры использования команды route
Маршруты добавлены на хост
Маршруты добавлены в сеть
Добавить маршрут по умолчанию
Настройте пересылку пакетов
Конфигурация ядра по умолчанию в CentOS уже включает функцию маршрутизации, но эта функция не включена по умолчанию при запуске системы. Linux-маршрутизацию можно включить, настроив сетевые параметры ядра. Чтобы настроить и настроить параметры ядра, используйте команду sysctl. Например: чтобы включить функцию пересылки пакетов в ядре Linux, вы можете использовать следующую команду.
После этого параметра текущая система может реализовать пересылку пакетов, но она будет недействительной при следующем запуске компьютера. Чтобы все еще быть действительным при следующем запуске компьютера, следующую строку необходимо записать в файл конфигурации /etc/sysctl.conf.
Вы также можете использовать следующую команду, чтобы проверить, поддерживает ли текущая система пересылку пакетов.
R для Linux Команда oute используется для отображения и управления таблицей IP-маршрутизации (показать / манипулировать таблицей IP-маршрутизации). Для обеспечения связи между двумя различными подсетями требуется маршрутизатор, соединяющий две сети, или шлюз, расположенный в обеих сетях. В системе Linux маршрутизация обычно настроена для решения следующих проблем: Система Linux находится в локальной сети, и в локальной сети есть шлюз, который может позволить машине выходить в Интернет, тогда IP-адрес этой машины должен быть установлен по умолчанию для машины Linux маршрутизации. Следует отметить, что выполнение команды route непосредственно в командной строке для добавления маршрута не сохранит его навсегда.При перезапуске сетевой карты или перезапуске машины маршрут становится недействительным, вы можете добавить команду route в /etc/rc.local, чтобы убедиться, что Настройка маршрутизации является постоянной 。
1. Формат команды:
route [-f] [-p] [Command [Destination] [mask Netmask] [Gateway] [metric Metric]] [if Interface]]
2. Командная функция:
Route Команда для Операция основана на таблице маршрутизации ip ядра, ее основная роль заключается в создании статического маршрута для указания хоста или сети через сетевой интерфейс, такой как eth0. При использовании параметров «add» или «del» таблица маршрутизации изменяется, и если параметры отсутствуют, отображается текущее содержимое таблицы маршрутизации.
3. Параметры команды:
-c показать больше информации
-n не разрешает имена
-v Показать подробную информацию об обработке
-F Показать отправить сообщение
-C отображать кэш маршрутов
-f Очистить таблицу маршрутизации всех записей шлюза.
-p Сделать маршрутизацию постоянной при использовании команды add.
добавить: добавить новый маршрут.
del: удалить маршрут.
-net: адрес назначения является сетью.
-host: адрес назначения является хостом.
Маска сети: при добавлении сетевого маршрута вам необходимо использовать маску сети.
gw: маршрутизирует пакеты через шлюз. Обратите внимание, что указанный вами шлюз должен быть достижимым.
метрика: устанавливает количество переходов между маршрутизацией.
Команда указывает команду, которую вы хотите выполнить (Добавить / Изменить / Удалить / Распечатать).
Пункт назначения указывает сетевой пункт назначения маршрута.
маска Маска сети указывает маску сети (также известную как маска подсети), связанную с сетевым адресатом.
Шлюз определяет IP-адрес прямого или следующего перехода, который может быть достигнут с помощью набора адресов и маски подсети, определенной сетевым адресатом.
metric Metric указывает целочисленный тег стоимости для маршрута (от 1 до 9999), который можно использовать при выборе из нескольких маршрутов в таблице маршрутизации (который наиболее точно соответствует адресу назначения пересылаемого пакета).
ifInterface Укажите индекс интерфейса для интерфейса, который может получить доступ к цели. Чтобы получить список интерфейсов и соответствующие им индексы интерфейсов, используйте функцию отображения команды route print. Индексация интерфейса может выполняться с использованием десятичных или шестнадцатеричных значений.
4. Случай использования:
Пример 1: Показать текущий маршрут
Команда:
Выход:
Описание:
первый четыре Строка указывает, что целью передачи данных является доступ к Интернету, тогда интерфейс eth0 отправляет пакет данных в шлюз 192.168. 120.240
Флаги Флаг Описание :
U Up означает, что этот маршрут в настоящее время включен
HHost, что означает, что этот шлюз является хостом
Шлюз, который указывает, что этот шлюз является маршрутизатором
Reinstate Route, маршрут, повторно инициализированный динамической маршрутизацией
Динамически этот маршрут записывается динамически
Модифицированный, этот маршрут динамически изменяется демоном или директором маршрутизации.
! Указывает, что этот маршрут в настоящее время закрыт
Пример 2: Добавить шлюз / установить шлюз
Команда:
Выход:
Описание:
Добавить маршрут к 244.0.0.0
Пример 3: экранирование Маршрут
Команда:
Выход:
Описание:
Добавить экранированный маршрут , Адрес получателя 224.x.x.x будет отклонен
Пример 4: Удалить записи маршрутизации
Команда:
Выход:
Описание:
Пример 5: Удалить и добавить шлюз по умолчанию
Шифруемся по ГОСТу: памятка по настройке динамической маршрутизации трафика
Пара слов о проекте
Топология сети у заказчика была типовая — full mesh между центром и филиалами. Требовалось внедрить шифрование каналов обмена информацией между всеми площадками, коих было 8 штук.
Обычно в подобных проектах всё статично: на криптошлюзах (КШ) задаются статические маршруты в локальную сеть площадки, прописываются списки IP-адресов (ACL) для шифрования. Однако в данном случае у площадок нет централизованного управления, и внутри их локальных сетей может происходить всё, что угодно: сети могут добавляться, удаляться и всячески модифицироваться. Для того чтобы избежать перенастройки маршрутизации и ACL на КШ при изменении адресации локальных сетей на площадках, было принято решение использовать GRE-туннелирование и динамическую маршрутизацию OSPF, в которую включены все КШ и большинство маршрутизаторов уровня ядра сети на площадках (на некоторых площадках администраторы инфраструктуры предпочли использовать SNAT в сторону КШ на маршрутизаторах ядра).
GRE-туннелирование позволило решить две задачи:
1. Использовать в ACL для шифрования IP-адрес внешнего интерфейса КШ, в котором инкапсулируется весь трафик, направляющийся на другие площадки.
2. Организовать p-t-p туннели между КШ, которые позволяют настроить динамическую маршрутизацию (в нашем случае между площадками организован провайдерский MPLS L3VPN).
Клиент заказал реализацию шифрования как услугу. Иначе ему пришлось бы не просто поддерживать криптошлюзы или сдавать в аутсорс какой-то организации, но и самостоятельно отслеживать жизненный цикл сертификатов шифрования, вовремя их продлевать и устанавливать новые. 
А теперь собственно памятка – как и что мы настраивали
Субъекту КИИ на заметку: настраиваем криптошлюз
Базовая настройка сети
Прежде всего запускаем новый КШ и попадаем в консоль администрирования. Начать стоит с изменения пароля встроенного администратора — команда change user password administrator. Затем необходимо с провести процедуру инициализации (команда initialize) в процессе которой вводятся данные лицензии и инициализируется датчик случайных чисел (ДСЧ).
Обратите внимание! При инициализации КШ S-Terra устанавливается политика безопасности, при которой интерфейсы шлюза безопасности не пропускают пакеты. Необходимо либо создать собственную политику, либо с помощью команды run csconf_mgr activate выполнить активацию предустановленной разрешающей политики.
Далее необходимо настроить адресацию внешних и внутренних интерфейсов, а также маршрут по умолчанию. Работу с сетевой конфигурацией КШ и настройку шифрования предпочтительно выполнять через Cisco-like консоль. Данная консоль предназначена для ввода команд, аналогичных командам Cisco IOS. Конфигурация, сформированная с помощью Cisco-like консоли, в свою очередь конвертируется в соответствующие конфигурационные файлы, с которыми работают демоны ОС. Перейти в Cisco-like консоль из консоли администрирования можно командой configure.
Меняем пароли на встроенного пользователя cscons и enable:
>enable
Password: csp(предустановленный)
#configure terminal
#username cscons privilege 15 secret 0 #enable secret 0 Настраиваем базовую сетевую конфигурацию:
#interface GigabitEthernet0/0
#ip address 10.111.21.3 255.255.255.0
#no shutdown
#interface GigabitEthernet0/1
#ip address 192.168.2.5 255.255.255.252
#no shutdown
#ip route 0.0.0.0 0.0.0.0 10.111.21.254
Выходим из Cisco-like консоли, и переходим в debian shell командой system. Устанавливаем собственный пароль для пользователя root командой passwd.
На каждом КШ настраивается отдельный туннель для каждой площадки. Настройка туннельного интерфейса производится в файле /etc/network/interfaces. За создание самого интерфейса отвечает утилита IP tunnel, входящая в предустановленный набор iproute2. Команда создания интерфейса прописывается в опцию pre-up.
Пример конфигурации типового туннельного интерфейса:
auto site1
iface site1 inet static
address 192.168.1.4
netmask 255.255.255.254
pre-up ip tunnel add site1 mode gre local 10.111.21.3 remote 10.111.22.3 key hfLYEg^vCh6p
Обратите внимание! Надо заметить, что настройки туннельных интерфейсов необходимо располагать вне секции
В противном случае данные настройки будут затерты при изменении сетевых настроек физических интерфейсов через Cisco-like консоль.
Динамическая маршрутизация
В S-Terra динамическая маршрутизация реализуется при помощи пакета программ Quagga. Для настройки OSPF нам потребуются включение и настройка демонов zebra и ospfd. Демон zebra отвечает за взаимодействие между демонами маршрутизации и ОС. Демон ospfd, как понятно из названия, отвечает за реализацию протокола OSPF.
Настройка OSPF производится либо через консоль демона, либо напрямую через конфигурационный файл /etc/quagga/ospfd.conf. В файл добавляются все физические и туннельные интерфейсы участвующие в динамической маршрутизации, а также объявляются сети, которые будут анонсироваться и принимать анонсы.
Пример конфигурации, которую требуется добавить в ospfd.conf:
interface eth0
!
interface eth1
!
interface site1
!
interface site2
router ospf
ospf router-id 192.168.2.21
network 192.168.1.4/31 area 0.0.0.0
network 192.168.1.16/31 area 0.0.0.0
network 192.168.2.4/30 area 0.0.0.0
В данном случае адреса 192.168.1.х/31 отведены под туннельные ptp-сети между площадками, адреса 192.168.2.х/30 — под транзитные сети между КШ и маршрутизаторами ядра.
Обратите внимание! Для уменьшения таблицы маршрутизации в крупных инсталляциях можно отфильтровать анонсирование самих транзитных сетей с помощью конструкций no redistribute connected или redistribute connected route-map.
После настройки демонов необходимо изменить статус запуска демонов в /etc/quagga/daemons. В опциях zebra и ospfd no исправить на yes. Запустить демон quagga и установить его автозапуск при запуске КШ командой update-rc.d quagga enable.
Если настройка GRE-туннелей и OSPF выполнена верно, то на КШ и маршрутизаторах ядра должны появится маршруты в сети остальных площадок и, таким образом, возникает сетевая связность между локальными сетями.
Шифруем передаваемый трафик
Как уже было написано, обычно при шифровании между площадками мы указываем диапазоны IP-адресов (ACL), между которыми шифруется трафик: если адреса источника и получателя попадают в эти диапазоны, то трафик между ними шифруется. Однако в данном проекте структура динамическая и адреса могут меняться. Так как мы уже настроили GRE-туннелирование, в качестве адресов источника и получателя для шифрования трафика можем указать внешние адреса КШ — ведь для шифрования приходит трафик, уже инкапсулированный протоколом GRE. Иными словами, шифруется всё, что попадает в КШ из локальной сети одной площадки в сторону сетей, которые были анонсированы другими площадками. А уже внутри каждой из площадок может выполняться любая переадресация. Таким образом, при каком-либо изменении локальных сетей администратору достаточно модифицировать анонсы, идущие из его сети в сторону КШ, и она станет доступной для других площадок.
Шифрование в КШ S-Terra выполняется посредством протокола IPSec. Мы используем алгоритм «Кузнечик» в соответствии с ГОСТ Р 34.12-2015, а для совместимости со старыми версиями можно применить ГОСТ 28147-89. Аутентификация технически может выполняться как на предопределенных ключах (PSK), так и на сертификатах. Тем не менее в промышленной эксплуатации необходимо использовать сертификаты, выпущенные по ГОСТ Р 34.10-2012.
Работа с сертификатами, контейнерами и CRL выполняется с помощью утилиты cert_mgr. Первым делом с помощью команды cert_mgr create необходимо сформировать контейнер закрытого ключа и запрос на сертификат, который будет направлен в Центр управления сертификатами. После получения сертификата его вместе с корневым сертификатом УЦ и CRL (если используется) необходимо импортировать командой cert_mgr import. Убедиться в том, что все сертификаты и CRL установились можно командой cert_mgr show.
После успешной установки сертификатов переходим в Cisco-like консоль для настройки IPSec.
Создаем IKE-политику, в которой указываются желаемые алгоритмы и параметры создаваемого защищенного канала, которые будут предложены партнеру для согласования.
#crypto isakmp policy 1000
#encr gost341215k
#hash gost341112-512-tc26
#authentication sign
#group vko2
#lifetime 3600
Данная политика применяется при построении первой фазы IPSec. Результатом успешного прохождения первой фазы служит установление SA (Security Association).
Далее нам потребуется определить список IP-адресов источника и получателя (ACL) для шифрования, сформировать набор преобразований (transform set), создать криптографическую карту (crypto map) и привязать ее к внешнему интерфейсу КШ.
Задаем ACL:
#ip access-list extended site1
#permit gre host 10.111.21.3 host 10.111.22.3
Набор преобразований (так же, как и для первой фазы, используем алгоритм шифрования «Кузнечик» с использованием режима выработки имитовставки):
#crypto ipsec transform-set GOST esp-gost341215k-mac
Создаем криптокарту, указываем ACL, transform set и адрес пира:
#crypto map MAIN 100 ipsec-isakmp
#match address site1
#set transform-set GOST
#set peer 10.111.22.3
Привязываем криптокарту к внешнему интерфейсу КШ:
#interface GigabitEthernet0/0
#ip address 10.111.21.3 255.255.255.0
#crypto map MAIN
Для шифрования каналов с другими площадками необходимо повторить процедуру создания ACL и криптокарты, изменив название ACL, IP-адреса и номер криптокарты.
Обратите внимание! В том случае, если не используется проверка сертификатов по CRL, это необходимо явно указать:
#crypto pki trustpoint s-terra_technological_trustpoint
#revocation-check none
На этом настройку можно считать завершенной. В выводе команд Cisco-like консоли show crypto isakmp sa и show crypto ipsec sa должны отражаться построенные первые и вторые фазы IPSec. Эту же информацию можно получить с помощью команды sa_mgr show, выполненной из debian shеll. В выводе команды cert_mgr show должны появиться сертификаты удаленных площадок. Статус таких сертификатов будет remote. В том случае если туннели не строятся, необходимо заглянуть в лог VPN-сервиса, который хранится в файле /var/log/cspvpngate.log. Полный список лог-файлов с описанием их содержания присутствует в документации.
Мониторим «здоровье» системы
В КШ S-Terra для мониторинга используется стандартный демон snmpd. Помимо типичных для Linux параметров, S-Terra «из коробки» поддерживает выдачу данных об IPSec-туннелях согласно CISCO-IPSEC-FLOW-MONITOR-MIB, чем мы и пользуемся, отслеживая состояние IPSec-туннелей. Также поддерживается функционал кастомных OID’ов выдающих в качестве значений результаты выполнения скрипта. Эта возможность позволяет нам отслеживать сроки истечения сертификатов. Написанный скрипт парсит вывод команды cert_mgr show и в результате выдает количество дней до истечения локального и корневого сертификатов. Данный прием незаменим при администрировании большого количества КШ. 
В чем цимус такого шифрования
Вся описанная выше функциональность поддерживается «из коробки» КШ S-Terra. То есть не пришлось устанавливать никаких дополнительных модулей, которые могли бы повлиять на сертификацию криптошлюзов и аттестацию всей информационной системы. Каналы между площадками могут быть любые, хоть через интернет.
Благодаря тому, что при изменении внутренней инфраструктуры не нужно перенастраивать криптошлюзы, система работает как услуга, что очень удобно для заказчика: он может свои сервисы (клиентские и серверные), располагать на любых адресах, и все изменения динамически передадутся между шифровальным оборудованием.
Безусловно, шифрование за счет накладных расходов (overhead) влияет на скорость передачи данных, но незначительно — пропускная способность канала может снизиться максимум на 5—10 %. При этом технология протестирована и показала хорошие результаты даже на спутниковых каналах, которые довольно нестабильны и обладают низкой пропускной способностью.
Игорь Виноходов, инженер 2-ой линии администрирования «Ростелеком-Солар»