Команда set tsp-encapsulation on включает режим инкапсуляции IKE и IPsec пакетов в TCP для инициатора.
Команда no set tcp-encapsulation отключает режим инкапсуляции.
На С-Терра Шлюз DP эта команда не используется.
Синтаксис set tcp-encapsulation on no set tcp-encapsulation |
|
Режимы команды |
Crypto map configuration |
Значение по умолчанию |
по умолчанию инкапсуляция не выполняется. |
Рекомендации по использованию |
• Включать TCP-инкапсуляцию нужно, если канал между Шлюзом и Клиентом не пропускает IKE и IPsec пакеты, так как операция TCP-инкапсуляции может значительно влиять на производительность Шлюза. Количество Клиентов с TCP-инкапсуляцией, подключаемых к одному Шлюзу, рекомендуется выставлять на уровне 10% от общего числа подключаемых Клиентов. • Если инициатор соединения предлагает построить SA в режиме TCP-инкапсуляции, то для ответчика устанавливать этот режим не нужно: партнер всегда соглашается на построение такого SA. Необходимо создать списки доступа, пропускающие TCP-инкапсулированный трафик. Например: ip access-list extended filter-acl permit udp host 192.168.1.1 eq 500 any permit udp host 192.168.1.1 eq 4500 any permit tcp host 192.168.1.1 eq 8080 any permit tcp host 192.168.1.1 any eq 8080 crypto map ipsec-crypto-map-1 1 ipsec-isakmp set tcp-encapsulation on interface GigabitEthernet0/1 ip access-group filter-acl in crypto map ipsec-crypto-map-1 • Для успешного создания TCP-соединения, у партнеров по соединению должны совпадать параметры, задающие TCP-порт в файле vpnproxy.ini: • Если на шлюзе в файле /opt/VPNagent/etc/vpnproxy.ini в секции HTTP значение параметра LocalPort отличается от установленного по умолчанию (8080) и не равно 0, то на стороне партнера значение TCP-порта, заданное в файле vpnproxy.ini в секции Internal NAT для параметра DefaultTCPPort, должно совпадать со значением LocalPort на шлюзе. • Параметр LocalPort задает TCP-порт для прослушивания внешних HTTP-запросов и создания новых TCP соединений в режиме ответчика (сервера). • Параметр DefaultTCPPort задает TCP-порт партнёра для создания новых TCP соединений в режиме инициатора (клиента). • В случае построения SA с использованием TCP-инкапсуляции команда set re-route on игнорируется. • Если используется режим инкапсуляции IKE и IPsec пакетов в TCP, то запрещено использовать AH Transform в команде crypto ipsec transform-set. |
Отличие данной команды от подобной команды Cisco IOS |
Данная команда отсутствует в Cisco IOS. |