阶段1:
对称加密:3des aes
HMAC:sha md5
认证方式:pre-share
DH组:group 1,2,5
lifetime;默认值
身份认证秘钥:cisco
r1(config)#crypto isakmp policy 1
r1(config-isakmp)#encryption 3des
r1(config-isakmp)#hash sha
r1(config-isakmp)#authentication pre-share
r1(config-isakmp)#group 2
r1(config-isakmp)#exit
#定义了ISAKMP policy 1,加密方式为3des,hash算法为sha,认证方式为Pre-Shared Keys (PSK),密钥算法(Diffie-Hellman)为group 2。
r1(config)#crypto isakmp key 6 cisco address 23.1.1.3 //0--明文 6--密文
#因为之前定义的认证方式为Pre-Shared Keys (PSK),所以需要定义认证密码,这里定义与peer 23.1.1.3的认证密码为cisco,并且双方密码必须一致,否则无法建立IKE SA,其中6表示密码在running-config中显示为密文。
阶段2:
需要保护的流量:
源: 目的:
传输集的数据保护方式: esp-3des ah-sha-hmac
IPsec Mode:默认隧道模式 mode tunnel
lifetime;默认值
保密图的出口地址:
r1(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255
#这里需要被IPsec保护传输的流量为上海公司至北京公司的流量,即10.1.1.0/24发往 192.168.1.0/24的流量,切记不可使用any来表示地址。
r1(config)#crypto ipsec transform-set out esp-3des esp-sha-hmac
r1(cfg-crypto-trans)#exit
#配置了transform-set为out,其中数据封装使用esp加3des加密,并且使用esp结合sha做hash计算,默认的IPsec mode为tunnel。
r1(config)#crypto map mymap 1 ipsec-isakmp
r1(config-crypto-map)#set peer 23.1.1.3
r1(config-crypto-map)#set transform-set out
r1(config-crypto-map)#match address 100
r1(config-crypto-map)#exit
#在R1上配置crypto map为mymap,序号为1,即第1组策略,其中指定加密。数据发往的对端为23.1.1.3,即和23.1.1.3建立IPsec隧道,调用的IPsec transform为out,并且指定ACL 100中的流量为被保护的流量。
r1(config)#int f0/0
r1(config-if)#crypto map mymap
r1(config-if)#exit
r1(config)#
*Mar 1 00:21:45.171: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
#将crypto map应用在去往北京公司的接口F0/0上
设置多点IPsec ×××需要改动的命令:
r1(config)#crypto isakmp key 6 cisco address x.x.x.x
r1(config)#access-list 101 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255
r1(config)#crypto ipsec transform-set out esp-3des esp-sha-hmac
r1(cfg-crypto-trans)#exit
r1(config)#crypto map mymap 2 ipsec-isakmp
r1(config-crypto-map)#set peer x.x.x.x
r1(config-crypto-map)#set transform-set out
r1(config-crypto-map)#match address 101
r1(config-crypto-map)#exit
r1(config)#int f0/0
r1(config-if)#crypto map mymap
r1(config-if)#exit
r1(config)#
查看IKE(ISAKMP)策略
show crypto isakmp policy
查看Phase One时的认证密码
show crypto isakmp key
查看IKE SA(ISAKMP SA)
show crypto isakmp sa
查看R1上IKE SA的peer
show crypto isakmp peers
查看R1上的IPsec Transform
show crypto ipsec transform-set
查看R1上的IPsec SA:
show crypto ipsec sa
查看R1上的IPsec SA的Lifetime
show crypto ipsec security-association
查看R1上的crypto map
show crypto map