peer, pfs, transform-set,. security-association.. security-association lifetime

↑

▷ Содержание

⇐ ПредыдущаяСтр 7 из 8Следующая ⇒

Set

Використовується разом з командами

peer, pfs, transform-set,

security-association.

peer [hostname | ip-address]

Визначає дозволений вузол IPSec за допомогою або ІР-адреси, або ім’я вузла.

pfs [group1 | group2]

Визначає групи: DH Group 1 або Group 2.

transform-set [set_name(s)]

Визначте список наборів перетворень в порядку пріоритетів. Коли з командою crypto map використовується параметр ipsec-manual – то може бути визначений тільки один набір перетворень. Коли ж використовується параметр ipsec-isakmp або параметр dynamic crypto – то може бути визначено до 6 наборів перетворень.

security-association lifetime

Встановлюються параметри SA lifetime (в секундах або кілобайтах).

match address [access-list-id | name]

Ідентифікує числом або іменем розширений ACL. Значення повинно відповідати числу списка доступа ACL або імені раніш визначеного розширеного IP ACL.

No

Використовується для вилучення команди, що була задана раніше введена за допомогою команди set.

ACL для записів крипто-карти, що позначені як IPsec-manual обмежені однією дозвольною командою, а наступні записи ігноруються. SA, які встановлені цим певним записом крипто-карти призначені тільки для одного потоку даних. Для підтримки декількох вручну сконфігурованих SA для різних видів трафіку, слід визначити кілька крипто ACL, і потім застосувати кожен з них на окремий запис криптокарти IPsec-manual. Кожен ACL містить одне дозвольне правило, що визначає трафік, який він має захищати.

Для забезпечення надлишковості в крипто-карті можуть бути зазначені два віддалених вузли. Якщо перший вузол не може сконтактувати – використовуватиметься другий. На кількість таких сконфігурованих надлишкових віддалених вузлів обмежень не існує.

Приклад конфігурування наведено нижче (тут же показано надлишкові вузли (172.30.2.2 та 172.30.3.2))

R1(config)#crypto map MYMAP 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer

   and a valid access list have been configured.

R1(config-crypto-map)#match address 110

R1(config-crypto-map)#set peer 172.30.2.2

R1(config-crypto-map)#set pfs group1

R1(config-crypto-map)#set transform-set MYSET

R1(config-crypto-map)#set security-association lifetime seconds 43200

Після того, як параметри крипто-карти сконфігуровано, слід призначити набір кріптокарти на інтерфейси, використовуючи команду специфічного режиму конфігурування інтерфейсу crypto map.

Крипто-карти застосовуються для вихідного інтерфейсу тунелю VPN за допомогою команди crypto map в специфічному режимі конфігурування інтерфейсу.

crypto map map-name, (map-name ­– це ім’я набору крипто-карти, застосованої на інтерфейсі).

Переконайтесь, що також сконфігуровано відправлення в тунель інформацію про маршрутизацію.

Весь трафік IP, що проходить через інтерфейс де застосовано криптокарти оцінюється з набору застосованої крипто-карти. Якщо записи крипто-карти бачить вихідний трафік IP, що повинен бути захищений, а крипто-карта вказує на використання IKE, SA узгоджується з віддаленим вузлом відповідно до параметрів, які включені до запису крипто-карти.

Познавательные статьи:



Техника прыжка в длину с разбега

Тактические действия в защите

История Олимпийских игр

История развития права интеллектуальной собственности