Команда set security-association replay disable отключает защиту от replay-атак. Команда no set security-association replay disable включает защиту от replay-атак.
Синтаксис set security-association replay disable
no set security-association replay disable
Режимы команды Crypto map configuration.
Рекомендации по использованию
Команда set security-association replay disable влияет только на SA, в которых обеспечивается контроль целостности данных. Контроль целостности данных обеспечивается алгоритмами, задаваемыми для SA в AH Transform и ESP Authentication Transform, а также преобразованиями ESP Encryption Transform, в которых используются алгоритмы в соответствии со спецификацией ESP_GOST-4M-IMIT.
Команду set security-association replay disable рекомендуется использовать в случае больших потерь пакетов из-за их переупорядочивания при транспортировке (например, когда трафики с разными приоритетами попадают в один IPsec-туннель).
Использование команды set security-association replay disable приводит к уязвимости при replay-атаках.
Отличие данной команды от подобной команды Cisco IOS
Данная команда аналогичная Cisco IOS.
В отличие от Cisco IOS отсутствуют настройки размера окна защиты от replay атак (set security-association replay window-size), также отсутствует глобальный вариант команды.