Команда crypto isakmp policy используется для создания IKE политики,
в которой указываются желаемые алгоритмы и параметры создаваемого защищенного канала,
которые будут предложены партнеру для согласования.
Этот канал будет обеспечивать защиту части обменов информацией первой фазы и все обмены второй фазы IKE.
Таких политик может быть указано несколько с присвоением им приоритета.
Выполнение данной команды осуществляет вход в режим настройки параметров ISAKMP SA.
Для удаления IKE политики используется та же команда с префиксом no.
Синтаксис crypto isakmp policy {priority} no crypto isakmp policy |
|
priority |
уникальный идентификатор IKE политики. В качестве идентификатора следует использовать целое число от 1 до 10000. При этом следует учитывать, что чем больше число, тем ниже приоритет создаваемой политики. |
Значение по умолчанию |
По умолчанию в IKE политике используются параметры, приведенные ниже: • encryption = gost (ГОСТ 28147-89) • hash = gost (ГОСТ Р 34.11-94) • authentication = gost-sig • group = vko (VKO ГОСТ Р 34.10-2001) • lifetime = 86400 |
Режимы команды |
Global configuration |
Рекомендации по использованию |
Используйте данную команду для указания параметров, о которых будут вестись переговоры с партнером, для создания ассоциации защиты ISAKMP (ISAKMP SA). Команда crypto isakmp policy осуществляет вход в режим ISAKMP policy configuration. В этом режиме и указываются параметры ISAKMP SA с помощью команд: • lifetime (IKE policy), set lifetime seconds • set lifetime kilobytes (IKE policy) • set lifetime sessions (IKE policy) Если в процессе создания IKE политики какой-либо из параметров не был задан, то будет использоваться его значение по умолчанию. |
Примечание 1 |
Если при создании IKE
политики будут использоваться алгоритмы, определенные в документах
«Техническая спецификация по использованию ГОСТ 28147-89,
ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2001 при согласовании ключей
в протоколах IKE И ISAKMP» и «Техническая спецификация по
использованию ГОСТ 28147-89, ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012
в протоколах обмена ключами IKE И ISAKMP» (такие алгоритмы
начинаются с префикса tc26), то при формировании набора
преобразований должны использоваться подобные алгоритмы. |
Примечание 2 |
Список алгоритмов IKE политики в разных нотациях (Cisco-like console, LSP, вывод утилит, сообщения лога и т.п.) приведен в документе «Приложение», в разделе «Алгоритмы IKE policy». |
Отличие данной команды от подобной команды Cisco IOS |
Следует учесть, что если задать несколько команд crypto isakmp policy с разными методами аутентификации и различными алгоритмами шифрования и хэширования, то после конвертирования cisco-like конфигурации в native-конфигурацию, последняя будет содержать весь список методов аутентификации и весь список алгоритмов. В результате возможна ситуация, при которой партнер предложит в IKE метод аутентификации из одной crypto isakmp policy, а алгоритмы - из другой crypto isakmp policy. А шлюз согласится на работу с партнером, с которым у него параметры ни в одной crypto isakmp policy не совпадают. |
Пример |
Ниже приведен пример создания IKE политики, состоящей из двух наборов параметров и имеющих приоритеты 15 и 20: Router(config)#crypto isakmp policy 15 Router(config-isakmp)#hash md5 Router(config-isakmp)#authentication rsa-sig Router(config-isakmp)#group 2 Router(config-isakmp)#lifetime 5000 Router(config-isakmp)#exit Router(config)#crypto isakmp policy 20 Router(config-isakmp)#authentication pre-share Router(config-isakmp)#lifetime 10000 Router(config-isakmp)#exit |