Создание политики IKE

Для создания защищенного канала, который будет обеспечивать защиту части обменов информацией первой фазы и все обмены второй фазы IKE, создаются ISAKMP политики (или одна политика) с разными приоритетами, которые будут предложены партнеру для согласования. В политиках описываются желаемые алгоритмы и параметры защищенного канала.

В CGW CLI с помощью команды crypto isakmp policy задаются IKE политики (или одна политика) с различными приоритетами, которые будут предложены партнеру для согласования. Выполнение этой команды осуществляет вход в режим ISAKMP policy configuration, в котором предлагаются параметры для согласования с помощью следующих команд:

• authentication – указывается метод аутентификации (с использованием электронной подписи или предопределенных ключей);
• encryption – указывается алгоритм шифрования, используемый в рамках протокола IKE;
• hash – указывается хэш-алгоритм, используемый в рамках протокола IKE;
• lifetime – устанавливается время жизни ISAKMP SA;
• group – указывается алгоритм, который будет использоваться в рамках протокола IKE для получения ключевого материала.

В конфигурационном файле в структуре IKERule задается метод аутентификации сторон, режим для первой фазы IKE, а также предлагается для согласования с партнером политика защиты первой и второй фазы IKE, которая описывается в структуре IKETransform. Cтруктура IKEParameters описывает глобальные настройки протокола IKE.