Переменные, в названии которых имеется слово blacklog, задают поведение механизма так называемого “черного списка”. "Черный список" предназначен для защиты от DoS-атак (Denial of Service –отказ от обслуживания). "Черный список" минимизирует обработку IKE-пакетов от партнеров, находящихся в "черном списке".
Default port
Порт для протокола IKE, который будет использован по умолчанию. Возможное значение – целое число из диапазона 1..65535. Значение по умолчанию – 500.
Окно для выбора значения порта:
Рисунок 41
Send packet retries
Количество попыток посылки IKE-пакетов партнеру. Возможное значение – целое число из диапазона 1..30. Значение по умолчанию – 5.
Окно для установки значения:
Рисунок 42
Initial retry time (seconds)
Начальный интервал времени между повторными попытками посылки IKE-пакетов партнеру (в секундах). Если ответ не получен в течение начального интервала, то запрос посылается повторно и интервал между повторными попытками увеличивается в два раза. Этот интервал увеличивается в два раза до тех пор, пока:
• не будет получен ответ или
• значение интервала Initial retry time не достигнет значения Max retry time, (повторные попытки будут продолжаться с интервалом Max retry time) и количество попыток не достигнет значения Send packet retries.
Возможное значение – целое число из диапазона 1..5. Значение по умолчанию – 1.
Окно для установки начального интервала времени:
Рисунок 43
Max retry time (seconds)
Максимальный интервал времени между повторными попытками посылки IKE-пакетов партнеру (в секундах). Если выставленное значение Max retry time меньше, чем значение Initial retry time, то при загрузке конфигурации Max retry time присваивается значение Initial retry time. Возможное значение – целое число из диапазона 1..60. Значение по умолчанию – 30.
Окно для установки максимального интервала времени:
Рисунок 44
Max session duration (seconds)
Максимальный интервал времени на каждую сессию IKE (в секундах). Возможное значение – целое число из диапазона 10..300. Значение по умолчанию – 60. Окно для выбора значения:
Рисунок 45
Max sessions initiated at once
Максимальное количество одновременно инициируемых IKE-сессий для всех партнёров. Возможное значение – целое число из диапазона 1..10000. Значение по умолчанию – 30. Окно для выбора значения:
Рисунок 46
Max responder sessions with a partner
Максимально допустимое количество одновременных обменов, проводимых VPN-устройством со всеми партнерами, в качестве ответчика. Если локальное устройство имеет указанное количество незавершенных IKE-обменов в роли ответчика, то все входящие ISAKMP-пакеты, требующие установления новых обменов, игнорируются (без оповещения партнера).
Возможное значение – целое число из диапазона 1..10000. Значение по умолчанию – 20. Окно для установки значения:
Рисунок 47
Max blacklog sessions
Max blacklog sessions устанавливает начальное число разрешенных одновременных IKE обменов, инициируемых одним партнером. При каждом неудачном завершении IKE обмена число разрешенных одновременных IKE обменов для данного партнера снижается вдвое с округлением в меньшую сторону, вплоть до значения, устанавливаемого параметром Min blacklog sessions.
Внимание! |
В данном случае партнер идентифицируется по паре ip:port. Пока партнер не аутентифицирован (т.е. с таким партнером на данный момент нет ни одного ISAKMP-соединения – SA), допустимое количество IKE-обменов может снижаться в зависимости от того, насколько успешно завершаются IKE-обмены с этим партнером. |
Внимание! |
Как только партнер заносится в "черный список", для него текущее значение разрешенных одновременно проводимых IKE обменов не только начинает уменьшаться в два раза после каждого неуспешного завершения обмена, но и увеличиваться на единицу по истечении каждого интервала времени Blacklog relax time (описанного далее). Возможное значение – целое число из диапазона – 0..2147483647. Если значение равно 0, то локальное устройство не работает с неаутентифицированными партнерами в качестве ответчика. Если значение Max blacklog sessions больше или равно значению Max responder sessions with a partner, то Max blacklog sessions присваивается значение Max responder sessions with a partner. Значение по умолчанию – 16. |
Рисунок 48
Min blacklog sessions
Минимальное число разрешенных одновременных IKE обменов, инициируемых неаутентифицированным партнером.
Возможное значение – целое число из диапазона – 0..2147483647.
Если значение Min blacklog sessions равно или больше, чем Max blacklog sessions, то число разрешенных одновременных IKE обменов, инициируемых неаутентифицированным партнером, не снижается (т.е. ”черный список“ отключен).
Внимание! |
При загрузке конфигурации с отключенным «черным списком» вся статистическая информация о «плохих» партнерах сбрасывается. Если же «черный список» включен, то к уже имеющейся накопленной статистике применяются новые параметры настроек «черного списка». |
Значение по умолчанию – 0 означает, что для партнера, поведение которого привело к понижению числа разрешенных инициируемых им одновременных IKE обменов до значения Min blacklog sessions, игнорируется весь IKE-трафик, а все имеющиеся с ним недостроенные IKE-сессии уничтожаются (ситуация “Access denied”).
Окно для выбора минимального количества обменов с партнером:
Рисунок 49
Blacklog sessions silent
Число активных обменов, инициированных неаутентифицированным партнером, по достижении которого VPN-устройство перестает информировать партнера о причине неуспешного завершения инициированного им IKE-обмена.
Если значение Blacklog sessions
silent больше, чем Max blacklog sessions,
то инициатор не ограничивается в таких оповещениях
Если значение равно 0 либо 1, то неаутентифицированный партнер никогда
не оповещается о причинах ошибки инициированного им обмена.
Возможное значение – целое число из диапазона – 0..2147483647. Значение по умолчанию – 4.
Окно для выбора количества обменов:
Рисунок 50
Blacklog relax time (seconds)
Устанавливает интервал времени (в секундах) релаксации "черного списка".
За указанный период времени число разрешенных одновременных IKE обменов для каждого партнера, находящегося в "черном списке", увеличивается на единицу. По истечении следующего такого же интервала времени, текущие значения разрешенных одновременно проводимых IKE обменов для каждого партнера опять увеличивается на единицу и т.д. Этот интервал времени отсчитывается с момента последней загрузки конфигурации.
Как только текущее значение разрешенных одновременно проводимых партнером IKE обменов начинает превышать значение Max blacklog sessions, такой партнер исключается из "черного списка".
Возможное значение – целое число из диапазона 0..2147483647. Значение 0 означает бесконечное время релаксации "черного списка" (партнер попадает в "черный список" навсегда). Значение по умолчанию – 120 секунд.
Внимание! |
В данном случае считается, что локальное VPN устройство потенциально доверяет партнеру, с которым оно хочет установить соединение, и информация, накопленная в "черном списке", для такого партнера сбрасывается. |
||
Внимание! |
Помимо механизма релаксации, партнер также может быть исключен из "черного списка" в следующих случаях: • при перезапуске сервиса • при загрузке конфигурации с отключенным "черным списком" • при инициации IKE обмена со стороны локального VPN устройства с целью установления ISAKMP (IPsec) соединения • если партнеру удалось установить ISAKMP (IPsec) соединение с локальным VPN устройством, и тем самым партнер был успешно аутентифицирован. |
|
|
Окно для выбора интервала времени:
Рисунок 51
Send certificate request mode
Определяет логику отсылки запроса на сертификат партнера. Возможные значения:
• AUTO – запрос высылается, если возможный сертификат партнера отсутствует
• NEVER – запрос не высылается
• ALWAYS – запрос высылается всегда.
Значение по умолчанию – AUTO.
Рисунок 52
Send certificate mode
Определяет логику отсылки локального сертификата в процессе первой фазы IKE на запрос партнера. В своем запросе партнер может указать, какому СА сертификату он доверяет. Если такой сертификат не найден, то он не отсылается. Возможные значения:
• AUTO – автоматически определяется, когда необходима отсылка локального сертификата партнеру.
• NEVER – сертификат не высылается.
• ALWAYS – сертификат высылается всегда.
• CHAIN – сертификат высылается всегда, причем в составе с цепочкой доверительных CA. Имеется ввиду цепочка сертификатов, построенная от локального сертификата до CA, который удовлетворяет описанию, присланному партнером в запросе. В общем случае это CA, удовлетворяющий запросу партнера, произвольное количество промежуточных CA и локальный сертификат.
Значение по умолчанию – AUTO.
Рисунок 53
Do autopass
Задает режим автоматического пропускания ISAKMP-трафика. Возможные значения:
• TRUE – автоматически пропускать ISAKMP-пакеты по всем фильтрам, по которым защищается трафик.
• FALSE – не пропускать автоматически ISAKMP-пакеты. Правило фильтрации для пропускания ISAKMP-трафика должно быть задано явно (вручную) с действием PASS.
Значение по умолчанию – TRUE.
Рисунок 54
Prefer IKECFG address
Задает предпочитаемый запрашиваемый адрес по протоколу IKECFG при установлении соединения. Возможные значения:
• Last used address – запрашивается адрес, который был получен в предыдущий раз.
• No preferred address – предпочтений нет, запрашивается любой адрес.
• Specific address – запрашивается адрес, указанный в переменной Specific IKECFG address.
Значение по умолчанию – Last used address.
Рисунок 55
Specific IKECFG address
Задает адрес, который клиент предпочитает получить по протоколу IKECFG, если в переменной Prefer IKECFG address выбрано значение Specific address. Значение по умолчанию – 0.0.0.0, означает, что запрашивается произвольный адрес из пула.
Рисунок 56
Maximum number of IKECFG interfaces
Задает максимальное количество IKECFG-интерфейсов (IPsec правил с запросом IKECFG-адреса). Возможные значения от 1 до 10. Значение по умолчанию – 1. Используется только для пользовательских LSP. Если правила задаются во вкладке IPsec Rules, то данное значение устанавливается автоматически.
Рисунок 57
Количество IKECFG-интерфейсов должно быть равно или превышать количество IPsecAction c PersistentConnection = TRUE