Создание политики IPsec

Для создания политики IPsec необходимо наличие хотя бы одного Transform Sets и одного правила IPsec.

Создание политики IPsec производится в окне Add  IPSec  Policy (Рисунок 61), которое открывается при нажатии кнопки Add в окне IPSec  Policies (Рисунок 60):

Рисунок 61

 

Состав элементов окна:

·       Name – имя создаваемой политики IPsec.

·       Группа Crypto Maps:

·       IKECFG Pool – выпадающий список, позволяющий изменить IKECFG пулы у всех записей в наборе статических криптографических карт.
Список активен, если пулы всех привязанных криптокарт совпадают либо отсутствуют.
В активном состоянии показывается значение списка, соответствующее привязанному IKECFG пулу, или <none>, если у всех карт в наборе нет привязанного пула.
В неактивном состоянии всегда показывается значение <none>.

·       Таблица со списком криптографических карт, входящих в создаваемую политику IPsec. Поля таблицы:

·       Name – имя политики IPsec.

·       Seq  No – порядковый номер криптографической карты (приоритет) в данной политике.

·       Peers – список партнеров, обрабатываемый данной криптографической картой.

·       Transform  Sets – список преобразований, используемых данной криптографической картой для защиты трафика.

·       IPSec  Rule  – имя правила IPsec, на которое ссылается данная криптографическая карта.

·       PFS – опция, включение которой усиливает защиту ключей:

·       показывает выбранный алгоритм, который будет использоваться для генерации ключевого материала, если опция включена;

·       пустое поле, если опция отключена.

·       IKECFG  pool – имя пула адресов, из которого будет выделяться адрес по запросу партнеров. Возможные значения:

·       <none> – если у криптографической карты нет назначенного пула.

·       {Pool  Name} – при явном назначении пула криптографической карте.

·       RRI – показывает включен или выключен (On/Off) механизм RRI (Reverse Route Injection) для соединений, создаваемых с помощью данной криптографической карты.

·       Identities – имя списка идентификаторов, которому должны удовлетворять сертификаты партнеров.

Кнопки управления:

·       Add  – вызывает диалог Add  Static  CryptoMap (Рисунок 62) для создания статической криптографической карты.

·       Edit – вызывает диалог Edit  Static  CryptoMap (Рисунок 62) для редактирования выделенной статической криптографической карты, совпадающий с окном Add  Static  CryptoMap.

·       Delete – вызывает процедуру удаления выделенной криптографической карты.

·       Группа Dynamic Crypto Map Sets:

·       IKECFG Pool – выпадающий список, позволяющий изменить IKECFG пулы у всех записей в наборе динамических криптографических карт. Список активен, если пулы всех привязанных криптокарт совпадают либо отсутствуют.
В активном состоянии показывается значение списка, соответствующее привязанному IKECFG пулу, или <none>, если у всех карт в наборе нет привязанного пула.
В неактивном состоянии показывается значение <none>.

·       Таблица со списком наборов динамических криптографических карт, связанных с политикой IPsec. Поля таблицы:

·       Name – имя политики IPsec

·       Seq  No – порядковый номер (приоритет) набора динамических криптографических карт в данной политике

·       Dynamic  Crypto  Map  Set  Name – имя набора динамических криптографических карт, связанного с политикой IPsec

·       Common  IKECFG  Pool – показывает наличие одинакового пула адресов у всего набора динамических карт. Возможные значения:

·       {Pool  Name} – имя пула адресов, если все карты в наборе используют одинаковый пул;

·       <none> – если у всех карт в наборе нет привязанного пула;

·       {Pool  Name}<effective> – это значение появляется в случае, когда набор динамических криптокарт, у которых не задан пул адресов, связан с политикой IPsec, у которой указан пул адресов, помеченный как IOS pool (общий пул). Это же значение – {Pool  Name}<effective> будет отображаться, если описанная выше ситуация присутствует в действующей на шлюзе конфигурации. Pool Name – имя IOS пула в текущей конфигурации.

·       <no  common  pool> – карты в наборе используют разные пулы адресов.

Кнопки управления:

·       Associate – вызывает окно Associate Dynamic Crypto Map Set (Рисунок 71) для выбора набора динамических криптографических карт для связывания с политикой IPsec.

·       Edit – кнопка доступна при выделении строки в таблице Dynamic Crypto Map Sets и вызывает окно Edit Dynamic Crypto Map Set Association для редактирования номера набора динамических криптокарт, связанного с политикой IPsec.

·       Dissociate – кнопка доступна при выделении строки в таблице Dynamic  Crypto  Map  Sets и удаляет связь между выделенным набором динамических криптокарт и политикой IPsec.