Команда crypto isakmp policy используется для создания IKE политики, в которой указываются желаемые алгоритмы и параметры создаваемого защищенного канала, которые будут предложены партнеру для согласования. Этот канал будет обеспечивать защиту части обменов информацией первой фазы и все обмены второй фазы IKE.
Таких политик может быть указано несколько с присвоением им приоритета.
Выполнение данной команды осуществляет вход в режим настройки параметров ISAKMP SA.
Для удаления IKE политики используется та же команда с префиксом no.
Синтаксис crypto isakmp policy {priority}
no crypto isakmp policy
priority уникальный идентификатор IKE политики. В качестве идентификатора следует использовать целое число от 1 до 10000. При этом следует учитывать, что чем больше число, тем ниже приоритет создаваемой политики.
Значение по умолчанию По умолчанию в IKE политике используются параметры, приведенные ниже:
encryption = gost (ГОСТ 28147-89)
hash = gost (ГОСТ Р34.11-94)
authentication = gost-sig
group = vko (VKO ГОСТ Р 34.10-2001)
lifetime = 86400
Режимы команды Global configuration.
Рекомендации по использованию
Используйте данную команду для указания параметров, о которых будут вестись переговоры с партнером, для создания ассоциации защиты ISAKMP (ISAKMP SA).
Команда crypto isakmp policy осуществляет вход в режим ISAKMP policy configuration. В этом режиме и указываются параметры ISAKMP SA с помощью команд:
Если в процессе создания IKE политики какой-либо из параметров не был задан, то будет использоваться его значение по умолчанию.
Отличие данной команды от подобной команды Cisco IOS:
Следует учесть, что если задать несколько команд crypto isakmp policy с разными методами аутентификации и различными алгоритмами шифрования и хэширования, то после конвертирования cisco-like конфигурации в native-конфигурацию, последняя будет содержать весь список методов аутентификации и весь список алгоритмов. В результате возможна ситуация, при которой партнер предложит в IKE метод аутентификации из одной crypto isakmp policy, а алгоритмы – из другой crypto isakmp policy. А шлюз согласится на работу с партнером, с которым у него параметры ни в одной crypto isakmp policy не совпадают.
Пример
Ниже приведен пример создания IKE политики, состоящей из двух наборов параметров и имеющих приоритеты 15 и 20:
Router(config)#crypto isakmp policy 15
Router(config-isakmp)#hash md5
Router(config-isakmp)#authentication rsa-sig
Router(config-isakmp)#group 2
Router(config-isakmp)#lifetime 5000
Router(config-isakmp)#exit
Router(config)#crypto isakmp policy 20
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#lifetime 10000
Router(config-isakmp)#exit