crypto isakmp policy

Команда  crypto  isakmp  policy используется  для создания IKE политики, в которой указываются желаемые алгоритмы и параметры создаваемого защищенного канала, которые будут предложены партнеру для согласования. Этот канал будет обеспечивать защиту части обменов информацией первой фазы и все обмены второй фазы IKE.

Таких политик может быть указано несколько с присвоением им приоритета.

Выполнение данной команды осуществляет вход в режим настройки параметров ISAKMP SA.

Для удаления IKE политики используется та же команда с префиксом no.

 

Синтаксис           crypto isakmp policy {priority}

                   no crypto isakmp policy

priority                      уникальный идентификатор IKE политики. В качестве идентификатора следует использовать целое число от 1 до 10000. При этом следует учитывать, что чем больше число, тем ниже приоритет создаваемой политики.

 

Значение по умолчанию                    По умолчанию в IKE политике используются параметры, приведенные ниже:

                              encryption = gost (ГОСТ 28147-89)

                              hash = gost (ГОСТ Р34.11-94)

                              authentication = gost-sig

                              group = vko (VKO ГОСТ Р 34.10-2001)

                              lifetime = 86400

 

Режимы  команды                               Global configuration.

 

Рекомендации по использованию

Используйте данную команду для указания параметров, о которых будут вестись переговоры с партнером, для создания ассоциации защиты ISAKMP (ISAKMP SA).

Команда  crypto  isakmp  policy осуществляет вход в режим ISAKMP policy configuration. В этом режиме и указываются параметры ISAKMP SA с помощью команд:

authentication (IKE policy)

encryption (IKE policy)

hash (IKE policy)

group (IKE policy)

lifetime (IKE policy) 

 

Если в процессе создания IKE политики какой-либо из параметров не был задан, то будет использоваться его значение по умолчанию.

 

Отличие данной команды от подобной команды Cisco  IOS:

Следует учесть, что если задать несколько команд  crypto  isakmp  policy  с  разными методами аутентификации и различными алгоритмами шифрования и хэширования, то после конвертирования cisco-like конфигурации в native-конфигурацию, последняя будет содержать весь список методов аутентификации и весь список алгоритмов. В результате возможна ситуация, при которой партнер предложит в IKE метод аутентификации из одной crypto  isakmp  policy, а алгоритмы – из другой crypto  isakmp  policy. А шлюз согласится на работу с партнером, с которым у него параметры ни в одной crypto  isakmp  policy не совпадают.

 

Пример

Ниже приведен пример создания IKE политики, состоящей из двух наборов параметров и имеющих приоритеты 15 и 20:

Router(config)#crypto isakmp policy 15

Router(config-isakmp)#hash md5

Router(config-isakmp)#authentication rsa-sig

Router(config-isakmp)#group 2

Router(config-isakmp)#lifetime 5000

Router(config-isakmp)#exit

Router(config)#crypto isakmp policy 20

Router(config-isakmp)#authentication pre-share

Router(config-isakmp)#lifetime 10000

Router(config-isakmp)#exit