Переменные, в названии которых имеется слово blacklog, задают поведение механизма так называемого “черного списка”. "Черный список" предназначен для защиты от DoS-атак (Denial of Service –отказ от обслуживания). "Черный список" минимизирует обработку IKE-пакетов от партнеров, находящихся в "черном списке".
Default port
Порт для протокола IKE, который будет использован по умолчанию. Возможное значение – целое число из диапазона 1..65535. Значение по умолчанию – 500.
Окно для выбора значения порта:
Рисунок 40
Send packet retries
Количество попыток посылки IKE-пакетов партнеру. Возможное значение – целое число из диапазона 1..30. Значение по умолчанию – 5.
Окно для установки значения:
Рисунок 41
Initial retry time (seconds)
Начальный интервал времени между повторными попытками посылки IKE-пакетов партнеру (в секундах). Если ответ не получен в течение начального интервала, то запрос посылается повторно и интервал между повторными попытками увеличивается в два раза. Этот интервал увеличивается в два раза до тех пор, пока:
· не будет получен ответ или
· значение интервала Initial retry time не достигнет значения Max retry time, (повторные попытки будут продолжаться с интервалом Max retry time) и количество попыток не достигнет значения Send packet retries.
Возможное значение – целое число из диапазона 1..5. Значение по умолчанию – 1.
Окно для установки начального интервала времени:
Рисунок 42
Max retry time (seconds)
Максимальный интервал времени между повторными попытками посылки IKE-пакетов партнеру (в секундах). Если выставленное значение Max retry time меньше, чем значение Initial retry time, то при загрузке конфигурации Max retry time присваивается значение Initial retry time. Возможное значение – целое число из диапазона 1..60. Значение по умолчанию – 30.
Окно для установки максимального интервала времени:
Рисунок 43
Max session duration (seconds)
Максимальный интервал времени на каждую сессию IKE (в секундах). Возможное значение – целое число из диапазона 10..300. Значение по умолчанию – 60. Окно для выбора значения:
Рисунок 44
Max sessions initiated at once
Максимальное количество одновременно инициируемых IKE-сессий для всех партнёров. Возможное значение – целое число из диапазона 1..10000. Значение по умолчанию – 30. Окно для выбора значения:
Рисунок 45
Max responder sessions with a partner
Максимально допустимое количество одновременных обменов, проводимых VPN-устройством со всеми партнерами, в качестве ответчика. Если локальное устройство имеет указанное количество незавершенных IKE-обменов в роли ответчика, то все входящие ISAKMP-пакеты, требующие установления новых обменов, игнорируются (без оповещения партнера).
Возможное значение – целое число из диапазона 1..10000. Значение по умолчанию – 20. Окно для установки значения:
Рисунок 46
Max blacklog sessions
Max blacklog sessions устанавливает начальное число разрешенных одновременных IKE обменов, инициируемых одним партнером[1]. При каждом неудачном завершении IKE обмена число разрешенных одновременных IKE обменов для данного партнера снижается вдвое с округлением в меньшую сторону, вплоть до значения, устанавливаемого параметром Min blacklog sessions.
Примечание: как только партнер заносится в "черный список", для него текущее значение разрешенных одновременно проводимых IKE обменов не только начинает уменьшаться в два раза после каждого неуспешного завершения обмена, но и увеличиваться на единицу по истечении каждого интервала времени Blacklog relax time (описанного далее).
Возможное значение – целое число из диапазона – 0..2147483647.
Если значение равно 0, то локальное устройство не работает с неаутентифицированными партнерами в качестве ответчика.
Если значение Max blacklog sessions больше или равно значению Max responder sessions with a partner, то Max blacklog sessionsприсваивается значение Max responder sessions with a partner.
Значение по умолчанию – 16.
Рисунок 47
Min blacklog sessions
Минимальное число разрешенных одновременных IKE обменов, инициируемых неаутентифицированным партнером.
Возможное значение – целое число из диапазона – 0..2147483647.
Если значение Min blacklog sessions равно или больше, чем Max blacklog sessions, то число разрешенных одновременных IKE обменов, инициируемых неаутентифицированным партнером, не снижается (т.е. ”черный список“ отключен)[2].
Значение по умолчанию – 0 означает, что для партнера, поведение которого привело к понижению числа разрешенных инициируемых им одновременных IKE обменов до значения Min blacklog sessions, игнорируется весь IKE-трафик, а все имеющиеся с ним недостроенные IKE-сессии уничтожаются (ситуация “Access denied”).
Окно для выбора минимального количества обменов с партнером:
Рисунок 48
Blacklog sessions silent
Число активных обменов, инициированных неаутентифицированным партнером, по достижении которого VPN-устройство перестает информировать партнера о причине неуспешного завершения инициированного им IKE-обмена.
Если значение Blacklog sessions silent больше, чем Max
blacklog sessions, то инициатор не ограничивается в таких оповещениях
Если значение равно 0 либо 1, то неаутентифицированный партнер никогда
не оповещается о причинах ошибки инициированного им обмена.
Возможное значение – целое число из диапазона – 0..2147483647. Значение по умолчанию – 4.
Окно для выбора количества обменов:
Рисунок 49
Blacklog relax time (seconds)
Устанавливает интервал времени (в секундах) релаксации "черного списка".
За указанный период времени число разрешенных одновременных IKE обменов для каждого партнера, находящегося в "черном списке", увеличивается на единицу. По истечении следующего такого же интервала времени, текущие значения разрешенных одновременно проводимых IKE обменов для каждого партнера опять увеличивается на единицу и т.д. Этот интервал времени отсчитывается с момента последней загрузки конфигурации.
Как только текущее значение разрешенных одновременно проводимых партнером IKE обменов начинает превышать значение Max blacklog sessions, такой партнер исключается из "черного списка".
Возможное значение – целое число из диапазона 0..2147483647. Значение 0 означает бесконечное время релаксации "черного списка" (партнер попадает в "черный список" навсегда). Значение по умолчанию – 120 секунд.
Примечание: помимо механизма релаксации, партнер также может быть исключен из "черного списка" в следующих случаях:
· при перезапуске сервиса
· при загрузке конфигурации с отключенным "черным списком"
· при инициации IKE обмена со стороны локального VPN устройства с целью установления ISAKMP (IPsec) соединения[3]
· если партнеру удалось установить ISAKMP (IPsec) соединение с локальным VPN устройством, и тем самым партнер был успешно аутентифицирован.
Окно для выбора интервала времени:
Рисунок 50
Send certificate request mode
Определяет логику отсылки запроса на сертификат партнера. Возможные значения:
· AUTO – запрос высылается, если возможный сертификат партнера отсутствует
· NEVER – запрос не высылается
· ALWAYS – запрос высылается всегда.
Значение по умолчанию – AUTO.
Рисунок 51
Send certificate mode
Определяет логику отсылки локального сертификата в процессе первой фазы IKE на запрос партнера. В своем запросе партнер может указать, какому СА сертификату он доверяет. Если такой сертификат не найден, то он не отсылается. Возможные значения:
· AUTO – автоматически определяется, когда необходима отсылка локального сертификата партнеру.
· NEVER – сертификат не высылается.
· ALWAYS – сертификат высылается всегда.
· CHAIN – сертификат высылается всегда, причем в составе с цепочкой доверительных CA. Имеется ввиду цепочка сертификатов, построенная от локального сертификата до CA, который удовлетворяет описанию, присланному партнером в запросе. В общем случае это CA, удовлетворяющий запросу партнера, произвольное количество промежуточных CA и локальный сертификат.
Значение по умолчанию – AUTO.
Рисунок 52
Do autopass
Задает режим автоматического пропускания ISAKMP-трафика. Возможные значения:
· TRUE – автоматически пропускать ISAKMP-пакеты по всем фильтрам, по которым защищается трафик.
· FALSE – не пропускать автоматически ISAKMP-пакеты. Правило фильтрации для пропускания ISAKMP-трафика должно быть задано явно (вручную) с действием PASS.
Значение по умолчанию – TRUE.
Рисунок 53
Prefer IKECFG address
Задает предпочитаемый запрашиваемый адрес по протоколу IKECFG при установлении соединения. Возможные значения:
· Last used address – запрашивается адрес, который был получен в предыдущий раз.
· No preferred address – предпочтений нет, запрашивается любой адрес.
· Specific address – запрашивается адрес, указанный в переменной Specific IKECFG address.
Значение по умолчанию – Last used address.
Рисунок 54
Specific IKECFG address
Задает адрес, который клиент предпочитает получить по протоколу IKECFG, если в переменной Prefer IKECFG address выбрано значение Specific address. Значение по умолчанию – 0.0.0.0, означает, что запрашивается произвольный адрес из пула.
Рисунок 55
Maximum number of IKECFG interfaces
Задает максимальное количество IKECFG-интерфейсов (IPsec правил с запросом IKECFG-адреса). Возможные значения от 1 до 10. Значение по умолчанию – 1. Используется только для пользовательских LSP. Если правила задаются во вкладке IPsec Rules, то данное значение устанавливается автоматически.
Рисунок 56
Количество IKECFG-интерфейсов должно быть равно или превышать количество IPsecAction c PersistentConnection = TRUE