Команда set tsp-encapsulation on включает режим инкапсуляции IKE и IPsec пакетов в TCP для инициатора. Команда no set tcp-encapsulation отключает режим инкапсуляции.
Для маршрутизаторов ESR-ST эта команда не используется.
Синтаксис set tcp-encapsulationon
no set tcp-encapsulation
Режимы команды Crypto map configuration.
Значение по умолчанию по умолчанию инкапсуляция не выполняется.
Рекомендации по использованию
Включать TCP-инкапсуляцию нужно, если канал между Шлюзом и Клиентом не пропускает IKE и IPsec пакеты, так как операция TCP-инкапсуляции может значительно влиять на производительность Шлюза. Количество Клиентов с TCP-инкапсуляцией, подключаемых к одному Шлюзу, рекомендуется выставлять на уровне 10% от общего числа подключаемых Клиентов.
Если инициатор соединения предлагает построить SA в режиме TCP-инкапсуляции, то для ответчика устанавливать этот режим не нужно: партнер всегда соглашается на построение такого SA.
Необходимо создать списки доступа, пропускающие TCP-инкапсулированный трафик. Например:
ip access-list extended filter-acl
permit udp host 192.168.1.1 eq 500 any
permit udp host 192.168.1.1 eq 4500 any
permit tcp host 192.168.1.1 eq 8080 any
permit tcp host 192.168.1.1 any eq 8080
crypto map ipsec-crypto-map-1 1 ipsec-isakmp
set tcp-encapsulation on
interface GigabitEthernet0/1
ip access-group filter-acl in
crypto map ipsec-crypto-map-1
Для успешного создания TCP-соединения, у партнеров по соединению должны совпадать параметры, задающие TCP-порт в файле vpnproxy.ini:
Если на шлюзе в файле /opt/VPNagent/etc/vpnproxy.ini в секции HTTP значение параметра LocalPort отличается от установленного по умолчанию (8080) и не равно 0, то на стороне партнера значение TCP-порта, заданное в файле vpnproxy.ini в секции Internal NAT для параметра DefaultTCPPort, должно совпадать со значением LocalPort на шлюзе.
Параметр LocalPort задает TCP-порт для прослушивания внешних HTTP-запросов и создания новых TCP соединений в режиме ответчика (сервера).
Параметр DefaultTCPPort задает TCP-порт партнёра для создания новых TCP соединений в режиме инициатора (клиента).
В случае построения SA с использованием TCP-инкапсуляции команда set re-route on игнорируется.
Если используется режим инкапсуляции IKE и IPsec пакетов в TCP, то запрещено использовать AH Transform в команде crypto ipsec transform-set.
Отличие данной команды от подобной команды Cisco IOS
Данная команда отсутствует в Cisco IOS.