Команда crypto ipsec transform-set используется для формирования набора преобразований – комбинации протоколов защиты и криптографических алгоритмов.
Для удаления набора преобразований используется та же команда с префиксом no.
Синтаксис crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]
no crypto ipsec transform-set transform-set-name
transform-set-name имя, присваиваемое набору преобразований.
transform1..3 наборы преобразований. Разрешено использовать до 3 наборов преобразований.
Режимы команды Global configuration. Выполнение этой команды осуществляет вход в режим crypto transform configuration.
Значение по умолчанию значение по умолчанию отсутствует.
Рекомендации по использованию
Набор преобразований – это приемлемая комбинация протоколов защиты, криптографических алгоритмов и других параметров, применяемых в защищаемом IPsec трафике. В процессе согласования параметров IPsec SA партнеры соглашаются на использование конкретного набора преобразований для защиты конкретного потока данных.
Повторный ввод команды с уже заданным именем transform-set-name заменяет набор преобразований.
Вы можете создать несколько наборов преобразований и затем назначить один или более из них каждой конкретной записи криптографической карты. Набор преобразований, указанный в записи криптографической карты, используется при согласовании параметров IPsec SA для защиты потока данных, разрешенного в списке доступа только для этой записи криптографической карты.
Перед тем как назначить набор преобразований трафика для записи криптографической карты, набор преобразований должен быть задан с помощью этой команды.
Набор преобразований задает использование протоколов IPsec: Encapsulation Security Protocol (ESP) и Authentication Header (AH) и указывает какие криптографические алгоритмы следует использовать с этими протоколами. Данные протоколы могут использоваться как по отдельности, так и оба одновременно.
Для создания набора преобразований следует описать от одного до трех преобразований. Каждое из преобразований должно содержать описание используемых протоколов (AH, ESP) и криптографических алгоритмов.
Для установления режима, используемого набором преобразований, предназначена команда mode.
Допустимые комбинации преобразований
Таблица 12
Тип преобразования |
Имя |
Описание |
AH Transform (один из списка) |
ah-md5-hmac |
Протокол АН c алгоритмом аутентификации MD5 |
ah-sha-hmac |
Протокол АН с алгоритмом аутентификации SHA |
|
ah-gost28147-mac |
Протокол АН с алгоритмом ГОСТ 28147-89 (в режиме выработки имитовставки) |
|
ah-gost3411-hmac |
Протокол АН с алгоритмом ГОСТ Р 34.11-94 |
|
ESP Encryption Transform (один из списка) |
esp-null |
Протокол ESP с алгоритмом Null. |
esp-des |
Протокол ESP с 56-битным алгоритмом DES |
|
esp-3des |
Протокол ESP с 168-битным алгоритмом 3DES |
|
esp-aes-128 |
Протокол ESP с 128-битным алгоритмом AES |
|
esp-aes-192 |
Протокол ESP c 192-битным алгоритмом AES |
|
esp-aes-256 |
Протокол ESP c 256-битным алгоритмом AES |
|
esp-gost28147 |
Протокол ESP с алгоритмом ГОСТ 28147-89 (в режиме простой замены с зацеплением) |
|
esp-gost28147-4m-imit |
Протокол ESP с алгоритмом ГОСТ 28147-89 (в комбинированном режиме: гаммирование и вычисление имитовставки. в соответствии со спецификацией ESP_GOST-4M-IMIT) |
|
ESP Authentication Transform (один из списка) |
esp-md5-hmac |
Протокол ESP с алгоритмом аутентификации MD5 |
esp-sha-hmac |
Протокол ESP с алгоритмом аутентификации SHA |
|
esp-gost28147-mac |
Протокол ESP с алгоритмом ГОСТ 28147-89 (в режиме выработки имитовставки) |
|
esp-gost3411-hmac |
Протокол ESP с алгоритмом ГОСТ Р 34.11-94 |
Не допускается, чтобы был единственный ESP transform esp-null (без ESP authenticator). В этом случае выдается сообщение об ошибке:
ESP: NULL cipher requires ESP authenticator
Удаление
Если при удалении ввести имя несуществующего набора преобразований, будет выдано сообщение об ошибке:
Could not find crypto transform set <transform-set-name>
Не допускается удаление набора преобразований, на который присутствуют ссылки в статической и/или динамической криптокартах. В подобной ситуации выдается сообщение вида:
Transform-set <transform-set-name> is in use by the crypto-map(s): <crypto-map-name1> <crypto-map-seq-num1>[, <crypto-map-name2> <crypto-map-seq-num2>...]
Transform-set <transform-set-name> is in use by the dynamic crypto-map template(s): <crypto-dynamic-map-name1> <crypto-dynamic-map-seq-num1>[, <crypto-dynamic-map-name2> <crypto-dynamic-map-seq-num2>...]
First remove the transform-set from the above crypto map(s)/dynamic crypto map template(s).
Отличие данной команды от подобной команды Cisco IOS:
· В Продукте S-Terra Gate отсутствует поддержка преобразования IP Compression Transform.
Пример
В приведенном ниже примере заданы два набора преобразований, использующие криптографические алгоритмы различной сложности:
Router(config)#crypto ipsec transform-set ts esp-3des esp-sha-hmac
Router(config)#crypto ipsec transform-set gost ah-md5-hmac esp-des