IKE settings

Переменные, в названии которых имеется слово blacklog, задают поведение механизма так называемого “черного списка”. "Черный список" предназначен для защиты от DoS-атак (Denial of Service –отказ от обслуживания). "Черный список" минимизирует обработку IKE-пакетов от партнеров, находящихся в "черном списке".

 

Default port

Порт для протокола IKE, который будет использован по умолчанию. Возможное значение – целое число из диапазона 1..65535. Значение по умолчанию – 500.

Окно для выбора значения порта:

Рисунок 40

 

 

Send packet retries

Количество попыток посылки IKE-пакетов партнеру. Возможное значение – целое число из диапазона 1..30. Значение по умолчанию – 5.

Окно для установки значения:

Рисунок 41

 

Initial retry time (seconds)

Начальный интервал времени между повторными попытками посылки IKE-пакетов партнеру (в секундах). Если ответ не получен в течение начального интервала, то запрос посылается повторно и интервал между повторными попытками увеличивается в два раза. Этот интервал увеличивается в два раза до тех пор, пока:

·       не будет получен ответ или

·       значение интервала Initial retry time не достигнет значения Max retry time, (повторные попытки будут продолжаться с интервалом Max retry time) и количество попыток не достигнет значения Send packet retries.

Возможное значение – целое число из диапазона 1..5. Значение по умолчанию – 1.

Окно для установки начального интервала времени:

Рисунок 42

 

Max retry time (seconds)

Максимальный интервал времени между повторными попытками посылки IKE-пакетов партнеру (в секундах). Если выставленное значение Max retry time меньше, чем значение Initial retry time, то при загрузке конфигурации Max retry time присваивается значение Initial retry time. Возможное значение – целое число из диапазона 1..60. Значение по умолчанию – 30.

Окно для установки максимального интервала времени:

Рисунок 43

 

Max session duration (seconds)

Максимальный интервал времени на каждую сессию IKE (в секундах). Возможное значение – целое число из диапазона 10..300. Значение по умолчанию – 60. Окно для выбора значения:

Рисунок 44

 

 

Max sessions initiated at once

Максимальное количество одновременно инициируемых IKE-сессий для всех партнёров. Возможное значение – целое число из диапазона 1..10000. Значение по умолчанию – 30. Окно для выбора значения:

Рисунок 45

 

Max responder sessions with a partner

Максимально допустимое количество одновременных обменов, проводимых VPN-устройством со всеми партнерами, в качестве ответчика. Если локальное устройство имеет указанное количество незавершенных IKE-обменов в роли ответчика, то все входящие ISAKMP-пакеты, требующие установления новых обменов, игнорируются (без оповещения партнера).

Возможное значение – целое число из диапазона 1..10000. Значение по умолчанию – 20. Окно для установки значения:

Рисунок 46

 

Max blacklog sessions

Max blacklog sessions устанавливает начальное число разрешенных одновременных IKE обменов, инициируемых одним партнером[1]. При каждом неудачном завершении IKE обмена число разрешенных одновременных IKE обменов для данного партнера снижается вдвое с округлением в меньшую сторону, вплоть до значения, устанавливаемого параметром Min blacklog sessions.

Примечание: как только партнер заносится в "черный список", для него текущее значение разрешенных одновременно проводимых IKE обменов не только начинает уменьшаться в два раза после каждого неуспешного завершения обмена, но и увеличиваться на единицу по истечении каждого интервала времени Blacklog relax time (описанного далее).

Возможное значение – целое число из диапазона – 0..2147483647.

Если значение равно 0, то локальное устройство не работает с неаутентифицированными партнерами в качестве ответчика.

Если значение Max blacklog sessions больше или равно значению Max responder sessions with a partner, то Max blacklog sessionsприсваивается значение Max responder sessions with a partner.

Значение по умолчанию – 16.

Рисунок 47

 

Min blacklog sessions

Минимальное число разрешенных одновременных IKE обменов, инициируемых неаутентифицированным партнером.

Возможное значение – целое число из диапазона – 0..2147483647.

Если значение Min blacklog sessions равно или больше, чем Max blacklog sessions, то число разрешенных одновременных IKE обменов, инициируемых неаутентифицированным партнером, не снижается (т.е. ”черный список“ отключен)[2].

Значение по умолчанию – 0 означает, что для партнера, поведение которого привело к понижению числа разрешенных инициируемых им одновременных IKE обменов до значения Min blacklog sessions, игнорируется весь IKE-трафик, а все имеющиеся с ним недостроенные IKE-сессии уничтожаются (ситуация “Access denied”).

Окно для выбора минимального количества обменов с партнером:

Рисунок 48

 

Blacklog sessions silent

Число активных обменов, инициированных неаутентифицированным партнером, по достижении которого VPN-устройство перестает информировать партнера о причине неуспешного завершения инициированного им IKE-обмена.

Если значение Blacklog sessions silent больше, чем Max blacklog sessions, то инициатор не ограничивается в таких оповещениях
Если значение равно 0 либо 1, то неаутентифицированный партнер никогда не оповещается о причинах ошибки инициированного им обмена.

Возможное значение – целое число из диапазона – 0..2147483647. Значение по умолчанию – 4.

Окно для выбора количества обменов:

Рисунок 49

 

Blacklog relax time (seconds)

Устанавливает интервал времени (в секундах) релаксации "черного списка".

За указанный период времени число разрешенных одновременных IKE обменов для каждого партнера, находящегося в "черном списке", увеличивается на единицу. По истечении следующего такого же интервала времени, текущие значения разрешенных одновременно проводимых IKE обменов для каждого партнера опять увеличивается на единицу и т.д. Этот интервал времени отсчитывается с момента последней загрузки конфигурации.

Как только текущее значение разрешенных одновременно проводимых партнером IKE обменов начинает превышать значение Max blacklog sessions, такой партнер исключается из "черного списка".

Возможное значение – целое число из диапазона 0..2147483647. Значение 0 означает бесконечное время релаксации "черного списка" (партнер попадает в "черный список" навсегда). Значение по умолчанию – 120 секунд.

Примечание: помимо механизма релаксации, партнер также может быть исключен из "черного списка" в следующих случаях:

·       при перезапуске сервиса

·       при загрузке конфигурации с отключенным "черным списком"

·       при инициации IKE обмена со стороны локального VPN устройства с целью установления ISAKMP (IPsec) соединения[3]

·       если партнеру удалось установить ISAKMP (IPsec) соединение с локальным VPN устройством, и тем самым партнер был успешно аутентифицирован.

Окно для выбора интервала времени:

Рисунок 50

 

Send certificate request mode

Определяет логику отсылки запроса на сертификат партнера. Возможные значения:

·       AUTO – запрос высылается, если возможный сертификат партнера отсутствует

·       NEVER – запрос не высылается

·       ALWAYS – запрос высылается всегда.

Значение по умолчанию – AUTO.

Рисунок 51

 

Send certificate mode

Определяет логику отсылки локального сертификата в процессе первой фазы IKE на запрос партнера. В своем запросе партнер может указать, какому СА сертификату он доверяет. Если такой сертификат не найден, то он не отсылается. Возможные значения:

·       AUTO – автоматически определяется, когда необходима отсылка локального сертификата партнеру.

·       NEVER – сертификат не высылается.

·       ALWAYS – сертификат высылается всегда.

·       CHAIN – сертификат высылается всегда, причем в составе с цепочкой доверительных CA. Имеется ввиду цепочка сертификатов, построенная от локального сертификата до CA, который удовлетворяет описанию, присланному партнером в запросе. В общем случае это CA, удовлетворяющий запросу партнера, произвольное количество промежуточных CA и локальный сертификат.

Значение по умолчанию – AUTO.

Рисунок 52

 

Do autopass

Задает режим автоматического пропускания ISAKMP-трафика. Возможные значения:

·       TRUE – автоматически пропускать ISAKMP-пакеты по всем фильтрам, по которым защищается трафик.

·       FALSE  – не пропускать автоматически ISAKMP-пакеты. Правило фильтрации для пропускания ISAKMP-трафика должно быть задано явно (вручную) с действием PASS.

Значение по умолчанию – TRUE.

Рисунок 53

 

Prefer IKECFG address

Задает предпочитаемый запрашиваемый адрес по протоколу IKECFG при установлении соединения. Возможные значения:

·       Last used address – запрашивается адрес, который был получен в предыдущий раз. 

·       No preferred address – предпочтений нет, запрашивается любой адрес.

·       Specific address – запрашивается адрес, указанный в переменной Specific IKECFG address.

Значение по умолчанию – Last used address.

Рисунок 54

 

Specific IKECFG address

Задает адрес, который клиент предпочитает получить по протоколу IKECFG, если в переменной Prefer IKECFG address выбрано значение Specific address. Значение по умолчанию – 0.0.0.0, означает, что запрашивается произвольный адрес из пула.

 

Рисунок 55

 

Maximum number of IKECFG interfaces

Задает максимальное количество IKECFG-интерфейсов (IPsec правил с запросом IKECFG-адреса). Возможные значения от 1 до 10. Значение по умолчанию – 1. Используется только для пользовательских LSP. Если правила задаются во вкладке IPsec Rules, то данное значение устанавливается автоматически.

Рисунок 56

 

Количество IKECFG-интерфейсов должно быть равно или превышать количество IPsecAction c PersistentConnection  = TRUE