第五章 第一節 路由器配置IPSec.VPN命令講解
開啓IPSec支持:Router(config)#crypto isakmp enable
第一階段:
配置IPSec:
(1)創建ISAKMP策略並指定策略編號(優先級)
Router(config)#crypto isakmp policy 優先級
(2)指定對稱加密算法
Router(config-isakmp)#encryption {des|3des}
(3)指定消息摘要算法
Router(config-isakmp)#hash {sha|md5}
(4)指定身份驗證方法
Router(config-isakmp)#authentication {rsa-sig | rsa-encr | pre-share(預共享密鑰)}
(5)指定DH分組編號,組1:768位,組2:1024位
Router(config-isakmp)#group {1 | 2}
(6)指定SA生存期
Router(config-isakmp)#lifetime 時間 (秒)
(7)退出isakmp
Router(config-isakmp)#exit
(8)退出config
Router(config)#exit
(9)顯示IKE策略設置
Router#show crypto isakmp policy
設置ISAKMP中標識對方的方法爲address|host:
Router(config)#crypto isakmp identity {address | hostname}
標識方法爲主機名時,需指定對應關係
Router(config)#ip host 主機名 地址1[地址2...地址8]
確定使用的密碼:
Router(config)#crypto isakmp key 密碼 address 地址
or
Router(config)#crypto isakmp key 密碼 hostname 主機名
第二階段:
變換集:
AH消息摘要驗證算法:
AH transform:ad-md5-hmac | ad-sha-hmac
ESP可用DES、3DES或不加密:
ESP Encryption transform:esp-des | esp-3des | esp-null | esp-md5-hmac | esp-sha-hmac
(1)定義交換集
Router(config)#crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]
例:crypto ipsec transform-set myset1 ah-sha-hmac sep-3des -sep-md5-hmac
(2)定義IPSEC的工作模式(可選)
Router(cfg-crypto-tran)#mode [tunnel | transport]
(3)顯示交換集
Router#show crypto ipsec transform-set
安全關聯生存時間:
(1)定義IPSec SA的生存時間
Router(config)#crypto ipsec security-association lifetime seconds 秒數
(2)統計以隧道模式傳輸的數據量
Router(config)#crypto ipsec security-association lifetime kilobytes 數據量
創建加密用ACL:
Router(config)# access-list access-liet-number {deny | permit} protocol source source-wildcard destination destination-wildcard [log]
創建加密圖:
(1)創建加密圖的名稱、序列號
Router(config)#crypto map map-name seq-num ipsec-isakmp
(2)匹配要加密的數據流
Router(config-crypto-m)#match address access-list-id
(3)確定對方地址
Router(config-crypto-m)#set peer {hostname | address}
(4)確定變換集
Router(config-crypto-m)#set transform-set transform-set-name1 [transform-set-name2...transform-set-name6]
(5)啓用向前密鑰
Router(config-crypto-m)#set pfs [group1 | goup2]
(6)退出加密圖
Router(config-crypto-m)#exit
(7)應用加密圖
Router(config-if)#crypto map map-name
(8)顯示加蜜圖
Router#show crypto map [interface interface | tag map-name]
加密圖例子:
access-list 101 permit ip 10.0.0.0 0.0.0.255 10.2.2.0 0.0.0.255
crypto ipsec transform-set myset1 esp-des esp-sha
crypto ipsec transform-set myset2 esp-3des esp-md5-hmac
crypto map toRemoteSite 10 ipsec-siamp
match address 101
set transform-set myset2
set peer 10.2.2.5
interface Serial0
ip address 10.0.0.2
crypto map toRemoteSite