crypto ipsec transform-set

Команда crypto  ipsec  transform-set  используется для формирования набора преобразований – комбинации протоколов защиты и криптографических алгоритмов.

Для удаления набора преобразований используется та же команда с префиксом no.

 

Синтаксис                     crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]

                   no crypto ipsec transform-set transform-set-name

transform-set-name  имя, присваиваемое набору преобразований.

transform1..3            наборы преобразований. Разрешено использовать до 3 наборов преобразований.

 

Режимы команды                               Global configuration. Выполнение этой команды осуществляет вход в режим crypto transform configuration.

 

Значение по умолчанию                    значение по умолчанию отсутствует.

 

Рекомендации по использованию

Набор преобразований – это приемлемая комбинация протоколов защиты, криптографических алгоритмов и других параметров, применяемых в защищаемом IPsec трафике. В процессе согласования параметров IPsec SA партнеры соглашаются на использование конкретного набора преобразований для защиты конкретного потока данных.

Повторный ввод команды с уже заданным именем transform-set-name заменяет набор преобразований.

Вы можете создать несколько наборов преобразований и затем назначить один или более из них каждой конкретной записи криптографической карты. Набор преобразований, указанный в записи криптографической карты, используется при согласовании параметров IPsec SA для защиты потока данных, разрешенного в списке доступа только для этой записи криптографической карты.

 

Перед тем как назначить набор преобразований трафика для записи криптографической карты, набор преобразований должен быть задан с помощью этой команды.

Набор преобразований задает использование протоколов IPsec: Encapsulation Security Protocol (ESP) и Authentication Header (AH) и указывает какие криптографические алгоритмы следует использовать с этими протоколами. Данные протоколы могут использоваться как по отдельности, так и оба одновременно.

Для создания набора преобразований следует описать от одного до трех преобразований. Каждое из преобразований должно содержать описание используемых протоколов (AH, ESP) и криптографических алгоритмов.

Для установления режима, используемого набором преобразований, предназначена команда mode.

Допустимые комбинации преобразований

Таблица 12

Тип преобразования

Имя

Описание

AH Transform

(один из списка)

ah-md5-hmac

Протокол АН c алгоритмом аутентификации MD5

ah-sha-hmac

Протокол АН с алгоритмом аутентификации SHA

ah-gost28147-mac

Протокол АН с алгоритмом ГОСТ 28147-89 (в режиме выработки имитовставки)

ah-gost3411-hmac

Протокол АН с алгоритмом ГОСТ Р 34.11-94

ESP Encryption Transform

(один из списка)

esp-null

Протокол ESP с алгоритмом Null.

esp-des

Протокол ESP с 56-битным алгоритмом DES

esp-3des

Протокол ESP с 168-битным алгоритмом 3DES

esp-aes-128

Протокол ESP с 128-битным алгоритмом AES

esp-aes-192

Протокол ESP c 192-битным алгоритмом AES

esp-aes-256

Протокол ESP c 256-битным алгоритмом AES

esp-gost28147

Протокол ESP с алгоритмом ГОСТ 28147-89 (в режиме простой замены с зацеплением)

esp-gost28147-4m-imit

Протокол ESP с алгоритмом ГОСТ 28147-89 (в комбинированном режиме: гаммирование и вычисление имитовставки. в соответствии со спецификацией ESP_GOST-4M-IMIT)

ESP Authentication Transform

(один из списка) 

esp-md5-hmac

Протокол ESP с алгоритмом аутентификации MD5

esp-sha-hmac

Протокол ESP с алгоритмом аутентификации SHA

esp-gost28147-mac

Протокол ESP с алгоритмом ГОСТ 28147-89 (в режиме выработки имитовставки)

esp-gost3411-hmac

Протокол ESP с алгоритмом ГОСТ Р 34.11-94

 

Не допускается, чтобы был единственный ESP transform esp-null (без ESP authenticator). В этом случае выдается сообщение об ошибке:

ESP: NULL  cipher  requires  ESP  authenticator 

 

Удаление

Если при удалении ввести имя несуществующего набора преобразований, будет выдано сообщение об ошибке:

Could not find crypto transform set <transform-set-name>

Не допускается удаление набора преобразований, на который присутствуют ссылки в статической и/или динамической криптокартах. В подобной ситуации выдается сообщение вида:

Transform-set <transform-set-name> is in use by the crypto-map(s):  <crypto-map-name1> <crypto-map-seq-num1>[, <crypto-map-name2> <crypto-map-seq-num2>...]

Transform-set <transform-set-name> is in use by the dynamic crypto-map template(s):  <crypto-dynamic-map-name1> <crypto-dynamic-map-seq-num1>[, <crypto-dynamic-map-name2> <crypto-dynamic-map-seq-num2>...]

First remove the transform-set from the above crypto map(s)/dynamic crypto map template(s).

 

Отличие данной команды от подобной команды Cisco  IOS:

·       В Продукте S-Terra Gate отсутствует поддержка преобразования IP Compression Transform.

 

Пример

В приведенном ниже примере заданы два набора преобразований, использующие криптографические алгоритмы различной сложности:

Router(config)#crypto ipsec transform-set ts esp-3des esp-sha-hmac

Router(config)#crypto ipsec transform-set gost ah-md5-hmac esp-des