Криптографическая карта (crypto map) для IPSec включает в себя необходимые конфигурационные параметры для формирования SA IPSec.
Рассмотрим эти параметры:
· Какой трафик должен быть защищен с использованием списков доступа для шифрования. Степень детализации трафика, защищаемого набором ассоциаций защиты.
· Удаленный узел, куда направляется трафик, защищенный IPSec (описание удаленного узла).
· Локальный адрес, используемый для трафика IPSec (опционально).
· Какой тип безопасности IPSec применяется к данному трафику, выбираемый из списка наборов преобразований.
Строки криптографической карты с одинаковым именем, но с разными номерами последовательности карт группируются в набор криптографических карт.
На одном интерфейсе может быть установлена только одна криптографическая карта. Одна криптографическая карта может применяться к нескольким интерфейсам, если к этим интерфейсам применяется одинаковая политика.
Если для одного интерфейса создано более одной записи в криптографической карте, то необходимо использовать номер последовательности (seq-num) для каждой строки, чтобы их упорядочить. Чем меньше номер последовательности, тем выше приоритет строки.
|
|
Если возникает одно из ниже перечисленных условий, то в криптографической карте необходимо создать несколько строк:
· Различная обработка потоков данных на узле IPSec.
· К различным типам трафика применяются различные политики безопасности IPSec.
· IKE не используется для установления отдельного набора SA (создайте отдельный список доступа и сформируйте отдельную строчку в криптографической карте для каждого списка доступа).
Для создания криптографической карты или ее редактирования необходимо в режиме глобальной конфигурации использовать команду crypto map.
Строки криптографической карты, ссылающиеся на динамические карты, должны быть записями с самым низким приоритетом (номера строк должны иметь наивысшие значения).
Чтобы удалить строку или набор строк криптографический карты, используйте указанную команду с префиксом no.
Синтаксис команды crypto map
Router(config)# crypto map map-name seq-num cisco
Router(config)# crypto map map-name seq-num ipsec-manual
Router(config)# crypto map map-name seq-num ipsec-isakmp [ dynamic dynamic-map-name]
Router(config)# no crypto map map-name [seq-num]
параметр | описание |
cisco | (по умолчанию) Указывает, что для защиты трафика будет использоваться СЕТ, а не IPSec. |
map-name | Имя криптографической карты. |
seq-num | Номер, записи в криптографической карте. |
ipsec-manual | Запрещает использование IKE при создании SA IPSec. |
ipsec-isakmp | Включает использование IKE при создании SA IPSec. |
dynamic | (опционально) Означает, что данная запись ссылается на уже существующую статическую криптографическую карту. Если использовать ключевое слово none, то команды режима конфигурации карты недоступны. |
dynamic-map-name | (опционально) Определяет имя динамической криптографической карты, используемое в качестве шаблона политики защиты. |
|
|
После выполнения команды crypto map мы попадаем в подрежим конфигурирования криптографической карты router (config-crypto-map)#, в котором выполняется настройка параметров.
Для поддержки нескольких установленных вручную SA для различного типа трафика формируется несколько списков доступа, а затем каждый применяется к соответствующей криптографической карте.
Каждый список доступа включает одно утверждение permit, определяющее защищаемый трафик.
Для обеспечения надежности соединения в параметрах может быть указано два и более удаленных узла.
Синтаксис команд подрежима crypto map
Router(config-crypto-map)# match address [access-list-number | name]
Router(config-crypto-map)# set peer [hostname | ip-address]
Router(config-crypto-map)# set pfs [ group1 | group2 ]
Router(config-crypto-map)# set security-association level per-host
Router(config-crypto-map)# set security-association lifetime { seconds | kilobytes }
Router(config-crypto-map)# set transform-set name-set [ name-set2... name-set6 ]
Router(config-crypto-map)# set session-key { inbound | outbound } ah | esp
параметр | описание |
match address [access-list-number | name] | Определяет номер или имя списка доступа, используемого криптографической картой. |
set peer [hostname | ip-address] | Определяет удаленный узел IPSec-партнера с помощью IP-адреса или доменного имени. |
set pfs [ group1 | group2 ] | (опционально) Определяет использование DH1 (group1) или DH2 (group2). По умолчанию - group1. |
set security-association level per-host | Включает запроса отдельных ассоциаций защиты IPSec для каждой пары адресов источника/получателя в списке доступа. |
set security-association lifetime { seconds | kilobytes } | Определяет время жизни ассоциации защиты в секундах или килобайтах. |
set transform-set name-set [ name-set2... name-set6 ] | Определяет порядок используемых наборов преобразований. При использовании параметра ipsec-manual может быть определен только один набор. При использовании параметра ipsec-isakmp или dynamic можно определить до шести наборов. |
set session-key { inbound | outbound } ah | esp | Определяет установку параметров SA вручную, включая установку паролей для АН и ESP. Определяет направление работы SA - для входа (inbound) или для выхода (outbound). |
После того, как были настроены параметры криптографической карты, ее надо применить на интерфейс. Для этого, в подрежиме конфигурации соответствующего интерфейса необходимо выполнить команду crypto map с указанием имени карты.
В результате выполнения этой команды, криптографическая карта будет установлена на выход этого интерфейса.
Применим криптографическую карту с именем TEST на интерфейс маршрутизатора.
Router(config)#interface s0/0/1
Router(config-if)#crypto map TEST
Router(config-if)#exit