Энергичный режим первой фазы IKE

В данном режиме выполняется один двухсторонний обмен, что сокращает время на установление сеанса IPSec.

Инициатор отправляет все необходимые значения для ассоциации защиты IKE, открытый ключ Диффи-Хеллмана, зашифрованное сообщение идентификационные параметры.

Получатель отправляет обратно необходимую информацию для завершения обмена.

Недостатком этого режима является то, что обмен информацией выполняется до того, как создан защищенный канал.

3. Вторая фаза IKE.

Целью второй фазы IKE является согласование параметров ассоциации защиты IPSec, которые будут использоваться для создания туннеля IPSec. В этой фазе выполняются следующие действия.

Все элементы этой фазы выполняются в быстром режиме и реализуются только после того, как был установлен безопасный туннель в первой фазе IKE.

Вторая фаза выполняет следующие задачи:

· Согласовываются параметры ассоциации защиты IPSec.

· Устанавливаются SA IPSec.

· Периодически, по истечении времени жизни SA IPSec, они регенерируются для гарантии защиты.

· Опционально выполняется дополнительный обмен Диффи-Хеллмана.

4. Передача данных по туннелю IPSec.

После завершения второй фазы IKE и создания SA IPSec, начинается передача информации по установленному туннелю IPSec.

Шифрование и дешифрование данных выполняется с помощью алгоритмов, определенных в SA IPSec.

SA IPSec ограничивает время своего существования либо по объему переданной информации (в килобайтах), либо по времени (в секундах).

Специальный таймер ассоциации защиты уменьшает свое значение на единицу при передаче каждого килобайта или каждую секунду.

5. Завершение работы туннеля IPSec.

SA IPSec прекращает работу туннеля либо в связи с ее удалением, либо в связи с превышением времени жизни.

После завершения работы ассоциации защиты, ключи, которые в ней использовались становятся недействительными. Для создания новой ассоциации защиты потребуется повторное выполнение второй фазы IKE.

Для обеспечения непрерывности связи, могут создаваться новые ассоциации защиты до истечения времени существования текущих.

Поддержка IPSec на маршрутизаторе

Рассмотрим общие принципы поддержки IPSec на маршрутизаторе.

1. На маршрутизаторе Cisco применяются расширенные списки доступа и криптографическая карта для выбора шифруемого трафика. Выполняется проверка SA IPSec. Если ассоциация защиты создана, то пакет шифруется в соответствии с политикой, определяемой криптографической картой, и передается на исходящий интерфейс.

2. Если ассоциация защиты не создана, то проверяются ассоциации защиты IKE. Если SA IKE уже существует, то она управляет созданием SA IPSec в соответствии с политикой IKE. После чего выполняется шифрование и передача пакета.

3. Если ассоциация защиты IKE не создана, то проверяется, была ли активизирована поддержка центров сертификации для создания политики IKE. Если аутентификация включена, то маршрутизатор обменивается аутентификационными параметрами со второй стороной и создает ассоциацию защиты IKE.

Настройка IPSec VPN

Этапы настройки IPSec VPN

Процесс настройки IPSec VPN разделен на пять этапов.

Этап 1. Настройте на интерфейсе список доступа, совместимый с конфигурацией IPSec. Обычно, если на интерфейсе настраивается VPN, то блокируется весь трафик кроме IPSec или IKE.

Этап 2. Создайте политику ISAKMP для определения параметров, которые будут использованы для формирования туннеля.

Этап 3. Определите набор преобразований IPSec. Этот набор формирует параметры, которые используются в туннеле IPSec для шифрования и проверки целостности.

Этап 4. Сформируйте список доступа для шифрования. Этот список определяет, какой трафик посылается через туннель IPSe c и защищается.

Этап 5. Создайте и примените криптографическую карту (crypto map). Эта карта группирует ранее сконфигурированные параметры вместе и определяет устройства IPSec. Криптографическая карта применяется на исходящий интерфейс устройства, обеспечивающего VPN.

Теперь необходимо настроить политику ISAKMP, определив параметры IKE.

На каждом узле может быть сконфигурировано несколько политик ISAKMP.

С помощью команды crypto isakmp policy priority задается приоритет политики (от 1 до 10000), который является ее номером на маршрутизаторе. 1 имеет наивысший приоритет. Чем более сильная политика, тем ниже рекомендуется назначать ей номер. В подрежиме конфигурации политики указываются определяющие ее параметры.

Замечание. Политика между двумя сторонами будет принята, если она имеет одинаковые параметры на обоих сторонах.

Router(config)# crypto isakmp policy priority

Router(config-isakmp)#parameter command

Параметры ISAKMP

Параметр (parameter)	Командное слово (command)	значение	назначение
encryption	des	56 бит	Выбор алгоритма шифрования (по умолчанию DES).
	3des	Triple DES
	aes	128 бит AES
	aes 192	192 бит AES
	aes 256	256 бит AES
hash	sha	SHA-1	Выбор алгоритма определения целостности (по умолчанию SHA).
hash	md5	MD5	Выбор алгоритма определения целостности (по умолчанию SHA).
authentication	pre-share	Предуст. ключи	Выбор метода аутентификации (по умолчанию rsa-sig)
	rsa-encr	RSA шифрованный
	rsa-sig	Сигнатура RSA
group	1	768 бит DH	Параметры обмена ключами (по умолчанию 1)
	2	1024 бит DH
	5	1536 бит DH
lifetime	seconds		Время жизни (по умолчанию 1 день – 86400 сек.)