階段1:
對稱加密:3des aes
HMAC:sha md5
認證方式:pre-share
DH組:group 1,2,5
lifetime;默認值
身份認證祕鑰:cisco
r1(config)#crypto isakmp policy 1
r1(config-isakmp)#encryption 3des
r1(config-isakmp)#hash sha
r1(config-isakmp)#authentication pre-share
r1(config-isakmp)#group 2
r1(config-isakmp)#exit
#定義了ISAKMP policy 1,加密方式爲3des,hash算法爲sha,認證方式爲Pre-Shared Keys (PSK),密鑰算法(Diffie-Hellman)爲group 2。
r1(config)#crypto isakmp key 6 cisco address 23.1.1.3 //0--明文 6--密文
#因爲之前定義的認證方式爲Pre-Shared Keys (PSK),所以需要定義認證密碼,這裏定義與peer 23.1.1.3的認證密碼爲cisco,並且雙方密碼必須一致,否則無法建立IKE SA,其中6表示密碼在running-config中顯示爲密文。
階段2:
需要保護的流量:
源: 目的:
傳輸集的數據保護方式: esp-3des ah-sha-hmac
IPsec Mode:默認隧道模式 mode tunnel
lifetime;默認值
保密圖的出口地址:
r1(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255
#這裏需要被IPsec保護傳輸的流量爲上海公司至北京公司的流量,即10.1.1.0/24發往 192.168.1.0/24的流量,切記不可使用any來表示地址。
r1(config)#crypto ipsec transform-set out esp-3des esp-sha-hmac
r1(cfg-crypto-trans)#exit
#配置了transform-set爲out,其中數據封裝使用esp加3des加密,並且使用esp結合sha做hash計算,默認的IPsec mode爲tunnel。
r1(config)#crypto map mymap 1 ipsec-isakmp
r1(config-crypto-map)#set peer 23.1.1.3
r1(config-crypto-map)#set transform-set out
r1(config-crypto-map)#match address 100
r1(config-crypto-map)#exit
#在R1上配置crypto map爲mymap,序號爲1,即第1組策略,其中指定加密。數據發往的對端爲23.1.1.3,即和23.1.1.3建立IPsec隧道,調用的IPsec transform爲out,並且指定ACL 100中的流量爲被保護的流量。
r1(config)#int f0/0
r1(config-if)#crypto map mymap
r1(config-if)#exit
r1(config)#
*Mar 1 00:21:45.171: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
#將crypto map應用在去往北京公司的接口F0/0上
設置多點IPsec ×××需要改動的命令:
r1(config)#crypto isakmp key 6 cisco address x.x.x.x
r1(config)#access-list 101 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255
r1(config)#crypto ipsec transform-set out esp-3des esp-sha-hmac
r1(cfg-crypto-trans)#exit
r1(config)#crypto map mymap 2 ipsec-isakmp
r1(config-crypto-map)#set peer x.x.x.x
r1(config-crypto-map)#set transform-set out
r1(config-crypto-map)#match address 101
r1(config-crypto-map)#exit
r1(config)#int f0/0
r1(config-if)#crypto map mymap
r1(config-if)#exit
r1(config)#
查看IKE(ISAKMP)策略
show crypto isakmp policy
查看Phase One時的認證密碼
show crypto isakmp key
查看IKE SA(ISAKMP SA)
show crypto isakmp sa
查看R1上IKE SA的peer
show crypto isakmp peers
查看R1上的IPsec Transform
show crypto ipsec transform-set
查看R1上的IPsec SA:
show crypto ipsec sa
查看R1上的IPsec SA的Lifetime
show crypto ipsec security-association
查看R1上的crypto map
show crypto map