Команда crypto ipsec transform—set используется для формирования набора преобразований – комбинации протоколов защиты и криптографических алгоритмов.
Для удаления набора преобразований используется та же команда с префиксом no.
Синтаксис:
crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]
no crypto ipsec transform-set transform-set-name
transform—set—name — имя, присваиваемое набору преобразований.
transform1..3 — наборы преобразований. Разрешено использовать до 3 наборов преобразований.
Набор преобразований – это приемлемая комбинация протоколов защиты, криптографических алгоритмов и других параметров, применяемых в защищаемом IPsec трафике. В процессе согласования параметров IPsec SA партнеры соглашаются на использование конкретного набора преобразований для защиты конкретного потока данных.
Повторный ввод команды с уже заданным именем transform—set—name заменяет набор преобразований.
Вы можете создать несколько наборов преобразований и затем назначить один или более из них каждой конкретной записи криптографической карты. Набор преобразований, указанный в записи криптографической карты, используется при согласовании параметров IPsec SA для защиты потока данных, разрешенного в списке доступа только для этой записи криптографической карты.
Перед тем как назначить набор преобразований трафика для записи криптографической карты, набор преобразований должен быть задан с помощью этой команды.
Набор преобразований задает использование протоколов IPsec: Encapsulation Security Protocol (ESP) и Authentication Header (AH) и указывает какие криптографические алгоритмы следует использовать с этими протоколами. Данные протоколы могут использоваться как по отдельности, так и оба одновременно.
Для создания набора преобразований следует описать от одного до трех преобразований. Каждое из преобразований должно содержать описание используемых протоколов (AH, ESP) и криптографических алгоритмов.
Для установления режима, используемого набором преобразований, предназначена команда mode.
Допустимые комбинации преобразований
|
Тип преобразования |
Имя |
Описание |
|
AH Transform (один из списка)
|
ah-md5-hmac |
Протокол АН c алгоритмом аутентификации MD5 (в режиме HMAC-96) |
|
ah-sha-hmac |
Протокол АН с алгоритмом аутентификации SHA-1 (в режиме HMAC-96) | |
|
ah-sha256-hmac |
Протокол АН с алгоритмом аутентификации SHA-2 (в режиме HMAC-256) | |
|
ah-sha384-hmac |
Протокол АН с алгоритмом аутентификации SHA-2 (в режиме HMAC-384) | |
|
ah-sha512-hmac |
Протокол АН с алгоритмом аутентификации SHA-2 (в режиме HMAC-512) | |
|
ESP Encryption Transform (один из списка) |
esp-null |
Протокол ESP с алгоритмом Null |
|
esp-des |
Протокол ESP с 56-битным алгоритмом DES | |
|
esp-3des |
Протокол ESP с 168-битным алгоритмом 3DES | |
|
esp-aes |
Протокол ESP с 128-битным алгоритмом AES | |
|
esp-192-aes |
Протокол ESP c 192-битным алгоритмом AES | |
|
esp-256-aes |
Протокол ESP c 256-битным алгоритмом AES | |
|
esp-gcm |
||
|
esp-gmac |
||
|
ESP Authentication Transform (один из списка) |
esp-md5-hmac |
Протокол ESP с алгоритмом аутентификации MD5 |
|
esp-sha-hmac |
Протокол ESP с алгоритмом аутентификации SHA | |
| esp-sha256-hmac | Протокол ESP с алгоритмом аутентификации SHA256 | |
| esp-sha384-hmac | Протокол ESP с алгоритмом аутентификации SHA384 | |
| esp-sha512-hmac | Протокол ESP с алгоритмом аутентификации SHA512 |
Router(config)#crypto ipsec transform-set TS esp-aes 256 esp-sha-hmac