Pomiń nagłówek
 

Ustawienia automatycznej zmiany klucza szyfrowania

W celu konfiguracji klucza urządzenie obsługuje automatyczną zmianę klucza, aby określić porozumienia takie jak algorytm IPsec i klucz dla nadawcy i odbiorcy. Ustawienia te określają SA (Security Association - powiązanie bezpieczeństwa). Komunikacja IPsec jest możliwa pod warunkiem, że ustawienia SA po stronie nadawcy i odbiorcy są identyczne.

W przypadku korzystania z automatycznej metody wymiany klucza szyfrowania, ustawienia SA są automatycznie konfigurowane w urządzeniach obu stron. Jednak przed skonfigurowaniem IPsec SA, odbywa się automatyczna konfiguracja ustawień ISAKMP SA (Faza 1). Następnie są także automatycznie konfigurowane ustawienia IPsec SA (faza 2) umożliwiające właściwą transmisję IPsec.

W celu dodatkowego zabezpieczenia ustawienia SA mogą być automatycznie okresowo aktualizowane przez zastosowanie okresu ważności (limit czasu) ustawień. Urządzenie obsługuje automatyczną wymianę klucza szyfrowania tylko w wersji IKEv1.

Warto zauważyć, że możliwa jest konfiguracja większej ilości SA.

Ustawienia 1-4 i ustawienia domyślne

Korzystając z metody automatycznej wymiany, można skonfigurować cztery osobne zestawy szczegółów SA (takich jak udostępnione klucze i algorytmy IPsec). Do ustawień domyślnych tych zestawów można dołączyć ustawienia, których nie mogą zawierać pola zestawów od 1 do 4.

Po włączeniu protokołu IPsec zestaw 1 będzie miał priorytet najwyższy, a zestaw 4 — najniższy. Można użyć tego systemu priorytetów, aby jeszcze dokładniej chronić adresy IP. Można na przykład ustawić najszerszy zakres IP na najniższy priorytet (4), a następnie poszczególne adresy IP na wyższy poziom priorytetu (3 i wyżej). W ten sposób, kiedy transmisja IPsec zostanie włączona dla określonego adresu IP, zastosowany zostanie wyższy poziom ustawień.