Синтаксис

set pfs [vko | vko2 | group1 | group2 | group5] 

no set pfs [vko | vko2 | group1 | group2 | group5]

vko

используется алгоритм VKO GOST R 34.10-2001 [RFC4357], длина ключа 256 бит

vko2

используется алгоритм VKO GOST R 34.10-2012, длина ключа 256 бит.

group1

используется алгоритм Диффи-Хеллмана, длина ключа 768 бит

group2

используется алгоритм Диффи-Хеллмана, длина ключа 1024 бита 

group5

используется алгоритм Диффи-Хеллмана, длина ключа 1536 бит 

Режимы команды

Crypto map configuration

Значение по

умолчанию

по умолчанию опция PFS отключена.

Рекомендации по использованию

•      В процессе согласования параметров SA будет затребовано включение опции PFS.

•      Если при формировании записи криптографической карты алгоритм не был указан, то будет предложено использовать group1 (значение по умолчанию).

•      Если создание SA инициировано партнером, а локальная конфигурация требует использования PFS, то, либо партнер принимает условие использования PFS, либо SA не будет установлена.

•      Если в локальной конфигурации явно прописано использование group2, эту же группу должен принять партнер в процессе согласования параметров, иначе SA не будет установлена.

•      Использование PFS усиливает уровень защиты потому, что даже если один из сессионных ключей будет взломан атакующей стороной, то только та часть данных, которая была зашифрована на этом ключе, может быть скомпрометирована. Без использования PFS скомпрометированными могут оказаться все данные, передаваемые в рамках созданной SA.

•      При использовании PFS при каждом создании новой SA будет производиться новый обмен ключами. Подобный обмен потребует дополнительных ресурсов процессора.

•      Используемые алгоритмы генерации ключей указываются в файле cs_conv.ini.

Пример

Ниже приведен пример требования на использования PFS с группой group2 для записи номер 10 криптографической карты "mymap":

Router(config)#crypto map mymap 10 ipsec-isakmp

 Router(config-crypto-map)#set pfs group2