Для создания политики IPsec необходимо наличие хотя бы одного Transform Sets и одного правила IPsec.
Создание политики IPsec производится в окне Add IPSec Policy (Рисунок 61), которое открывается при нажатии кнопки Add в окне IPSec Policies (Рисунок 60):
Рисунок 61
Состав элементов окна:
· Name – имя создаваемой политики IPsec.
· Группа Crypto Maps:
· IKECFG Pool – выпадающий список, позволяющий изменить IKECFG пулы у всех записей в наборе статических криптографических карт.
Список активен, если пулы всех привязанных криптокарт совпадают либо отсутствуют.
В активном состоянии показывается значение списка, соответствующее привязанному IKECFG пулу, или <none>, если у всех карт в наборе нет привязанного пула.
В неактивном состоянии всегда показывается значение <none>.
· Таблица со списком криптографических карт, входящих в создаваемую политику IPsec. Поля таблицы:
· Name – имя политики IPsec.
· Seq No – порядковый номер криптографической карты (приоритет) в данной политике.
· Peers – список партнеров, обрабатываемый данной криптографической картой.
· Transform Sets – список преобразований, используемых данной криптографической картой для защиты трафика.
· IPSec Rule – имя правила IPsec, на которое ссылается данная криптографическая карта.
· PFS – опция, включение которой усиливает защиту ключей:
· показывает выбранный алгоритм, который будет использоваться для генерации ключевого материала, если опция включена;
· пустое поле, если опция отключена.
· IKECFG pool – имя пула адресов, из которого будет выделяться адрес по запросу партнеров. Возможные значения:
· <none> – если у криптографической карты нет назначенного пула.
· {Pool Name} – при явном назначении пула криптографической карте.
· RRI – показывает включен или выключен (On/Off) механизм RRI (Reverse Route Injection) для соединений, создаваемых с помощью данной криптографической карты.
· Identities – имя списка идентификаторов, которому должны удовлетворять сертификаты партнеров.
Кнопки управления:
· Add – вызывает диалог Add Static CryptoMap (Рисунок 62) для создания статической криптографической карты.
· Edit – вызывает диалог Edit Static CryptoMap (Рисунок 62) для редактирования выделенной статической криптографической карты, совпадающий с окном Add Static CryptoMap.
· Delete – вызывает процедуру удаления выделенной криптографической карты.
· Группа Dynamic Crypto Map Sets:
· IKECFG Pool – выпадающий список, позволяющий изменить IKECFG пулы у всех записей в наборе динамических криптографических карт. Список активен, если пулы всех привязанных криптокарт совпадают либо отсутствуют.
В активном состоянии показывается значение списка, соответствующее привязанному IKECFG пулу, или <none>, если у всех карт в наборе нет привязанного пула.
В неактивном состоянии показывается значение <none>.
· Таблица со списком наборов динамических криптографических карт, связанных с политикой IPsec. Поля таблицы:
· Name – имя политики IPsec
· Seq No – порядковый номер (приоритет) набора динамических криптографических карт в данной политике
· Dynamic Crypto Map Set Name – имя набора динамических криптографических карт, связанного с политикой IPsec
· Common IKECFG Pool – показывает наличие одинакового пула адресов у всего набора динамических карт. Возможные значения:
· {Pool Name} – имя пула адресов, если все карты в наборе используют одинаковый пул;
· <none> – если у всех карт в наборе нет привязанного пула;
· {Pool Name}<effective> – это значение появляется в случае, когда набор динамических криптокарт, у которых не задан пул адресов, связан с политикой IPsec, у которой указан пул адресов, помеченный как IOS pool (общий пул). Это же значение – {Pool Name}<effective> будет отображаться, если описанная выше ситуация присутствует в действующей на шлюзе конфигурации. Pool Name – имя IOS пула в текущей конфигурации.
· <no common pool> – карты в наборе используют разные пулы адресов.
Кнопки управления:
· Associate – вызывает окно Associate Dynamic Crypto Map Set (Рисунок 71) для выбора набора динамических криптографических карт для связывания с политикой IPsec.
· Edit – кнопка доступна при выделении строки в таблице Dynamic Crypto Map Sets и вызывает окно Edit Dynamic Crypto Map Set Association для редактирования номера набора динамических криптокарт, связанного с политикой IPsec.
· Dissociate – кнопка доступна при выделении строки в таблице Dynamic Crypto Map Sets и удаляет связь между выделенным набором динамических криптокарт и политикой IPsec.