Команда crypto ipsec transform-set используется для формирования набора преобразований - комбинации протоколов защиты и криптографических алгоритмов.
Для удаления набора преобразований используется та же команда с префиксом no.
Синтаксис crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]] no crypto ipsec transform-set transform-set-name |
|
transform-set-name |
имя, присваиваемое набору преобразований. |
transform1..3 |
наборы преобразований. Разрешено использовать до 3 наборов преобразований. |
Режимы команды |
Global configuration Выполнение этой команды осуществляет вход в режим crypto transform configuration. |
Значение по умолчанию |
отсутствует |
Рекомендации по использованию |
• Набор преобразований - это приемлемая комбинация протоколов защиты, криптографических алгоритмов и других параметров, применяемых в защищаемом IPsec трафике. • В процессе согласования параметров IPsec SA партнеры соглашаются на использование конкретного набора преобразований для защиты конкретного потока данных. • Повторный ввод команды с уже заданным именем transform-set-name заменяет набор преобразований. • Вы можете создать несколько наборов преобразований и затем назначить один или более из них каждой конкретной записи криптографической карты. • Набор преобразований, указанный в записи криптографической карты, используется при согласовании параметров IPsec SA для защиты потока данных, разрешенного в списке доступа только для этой записи криптографической карты. • Перед тем как назначить набор преобразований трафика для записи криптографической карты, набор преобразований должен быть задан с помощью этой команды. • Набор преобразований задает использование протоколов IPsec: Encapsulation Security Protocol (ESP) и Authentication Header (AH) и указывает какие криптографические алгоритмы следует использовать с этими протоколами. Данные протоколы могут использоваться как по отдельности, так и оба одновременно. • Для создания набора преобразований следует описать от одного до трех преобразований. Каждое из преобразований должно содержать описание используемых протоколов (AH, ESP) и криптографических алгоритмов. |
Примечание |
если при создании IKE политики использовались алгоритмы, определенные в документах «Техническая спецификация по использованию ГОСТ 28147-89, ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2001 при согласовании ключей в протоколах IKE И ISAKMP» и «Техническая спецификация по использованию ГОСТ 28147-89, ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012 в протоколах обмена ключами IKE И ISAKMP» (такие алгоритмы начинаются с префикса tc26), то при формировании набора преобразований должны использоваться подобные алгоритмы. |
Удаление |
Если при удалении ввести имя несуществующего набора преобразований, будет выдано сообщение об ошибке: Could not find crypto transform set <transform-set-name> Не допускается удаление набора преобразований, на который присутствуют ссылки в статической и/или динамической криптокартах. В подобной ситуации выдается сообщение вида: Transform-set <transform-set-name> is in use by the crypto-map(s): <crypto-map-name1> <crypto-map-seq-num1>[, <crypto-map-name2> <crypto-map-seq-num2>...] Transform-set <transform-set-name> is in use by the dynamic crypto-map template(s): <crypto-dynamic-map-name1> <crypto-dynamic-map-seq-num1>[, <crypto-dynamic-map-name2> <crypto-dynamic-map-seq-num2>...] First remove the transform-set from the above crypto map(s)/dynamic crypto map template(s) |
Отличие данной команды от подобной команды Cisco IOS |
В Продукте С-Терра Шлюз отсутствует поддержка преобразования IP Compression Transform. |
Пример |
В приведенном ниже примере заданы два набора преобразований, использующие криптографические алгоритмы различной сложности: Router(config)#crypto ipsec transform-set ts esp-3des esp-sha-hmac Router(config)#crypto ipsec transform-set gost ah-md5-hmac esp-des |
Для установления режима, используемого набором преобразований, предназначена команда mode.
Допустимые комбинации преобразований
Таблица 15
Тип преобразования |
Имя |
Описание |
AH Transform (один из списка) |
ah-md5-hmac |
Протокол АН c алгоритмом аутентификации MD5 (в режиме HMAC-96) |
ah-sha-hmac |
Протокол АН с алгоритмом аутентификации SHA-1 (в режиме HMAC-96) |
|
ah-gost3411-hmac |
Протокол АН с алгоритмом ГОСТ Р 34.11-94 |
|
ah-gost-28147-mac |
Протокол АН с алгоритмом ГОСТ 28147-89 в режиме выработки имитовставки (в версии 4.3 не поддерживается) |
|
ESP Encryption Transform (один из списка) |
esp-null |
Протокол ESP с алгоритмом Null |
esp-des |
Протокол ESP с 56-битным алгоритмом DES |
|
esp-3des |
Протокол ESP с 168-битным алгоритмом 3DES |
|
esp-aes или esp-aes 128 |
Протокол ESP с 128-битным алгоритмом AES |
|
esp-aes 192 |
Протокол ESP c 192-битным алгоритмом AES |
|
esp-aes 256 |
Протокол ESP c 256-битным алгоритмом AES |
|
esp-gost28147 |
Протокол ESP с алгоритмом ГОСТ 28147-89 (в режиме простой замены с зацеплением) |
|
esp-gost28147-4m-imit |
Протокол ESP с алгоритмом ГОСТ 28147-89 (в комбинированном режиме: гаммирование и вычисление имитовставки на таблице замен CryptoPro-B, в соответствии со спецификацией ESP_GOST-4M-IMIT) |
|
esp-gost28147-4m-imit-z |
Протокол ESP с алгоритмом ГОСТ 28147-89 (в комбинированном режиме: гаммирование и вычисление имитовставки на таблице замен ТК26-Z в соответствии со спецификацией ESP_GOST-4M-IMIT) |
|
esp-gost341215k |
Протокол ESP с алгоритмом ГОСТ Р 34.12-2015 “Кузнечик” (в режиме гаммирования с обратной связью). (Применяется только при использовании криптобиблиотеки компании «С-Терра СиЭсПи») |
|
esp-gost341215k-mgm |
Протокол ESP с алгоритмом ГОСТ Р 34.12-2015 "Кузнечик" (в комбинированном режиме ENCR_KUZNYECHIK_MGM_KTREE: шифрование и имитозащита в мультилинейном режиме Галуа). (Применяется только при использовании криптобиблиотеки компании «С-Терра СиЭсПи») |
|
tc26-esp-gost-b-4m-imit |
Протокол ESP с алгоритмом ГОСТ 28147-89 (в комбинированном режиме: гаммирование и вычисление имитовставки на таблице замен CryptoPro-B). Совместим с КриптоПро IPsec |
|
tc26-esp-gost-z-4m-imit |
Протокол ESP с алгоритмом ГОСТ 28147-89 (в комбинированном режиме: гаммирование и вычисление имитовставки на таблице замен ТК26-Z в соответствии со спецификацией ESP_GOST-4M-IMIT, совместим с КриптоПро IPsec). |
|
ESP Authentication Transform (один из списка) |
esp-md5-hmac |
Протокол ESP с алгоритмом аутентификации MD5 |
esp-sha-hmac |
Протокол ESP с алгоритмом аутентификации SHA |
|
esp-gost341215k-mac |
Протокол ESP с алгоритмом ГОСТ Р 34.12-2015 “Кузнечик (в режиме выработки имитовставки). (Применяется только при использовании криптобиблиотеки компании «С-Терра СиЭсПи») |
|
esp-gost3411-hmac |
Протокол ESP с алгоритмом ГОСТ Р 34.11-94 (в режиме HMAC-96) |
|
esp-gost28147-mac |
Протокол ESP с алгоритмом ГОСТ 28147-89 в режиме выработки имитовставки (в версии 4.3 не поддерживается) |
Не допускается, чтобы был единственный ESP transform esp-null (без ESP authenticator). В этом случае выдается сообщение об ошибке:
ESP: NULL cipher requires ESP authenticator