网络安全与管理精讲视频笔记12-路由器配置IPSec.ＶＰＮ命令讲解

第五章 第一节 路由器配置IPSec.ＶＰＮ命令讲解

   开启IPSec支持：Router(config)#crypto isakmp enable

第一阶段：

配置IPSec：   （1）创建ISAKMP策略并指定策略编号(优先级)     Router(config)#crypto isakmp policy 优先级   （2）指定对称加密算法     Router(config-isakmp)#encryption {des|3des}   （3）指定消息摘要算法     Router(config-isakmp)#hash {sha|md5}   （4）指定身份验证方法     Router(config-isakmp)#authentication {rsa-sig | rsa-encr | pre-share(预共享密钥)}   （5）指定DH分组编号，组1：768位，组2：1024位     Router(config-isakmp)#group {1 | 2}   （6）指定SA生存期     Router(config-isakmp)#lifetime 时间 (秒)   （7）退出isakmp     Router(config-isakmp)#exit   （8）退出config     Router(config)#exit   （9）显示IKE策略设置     Router#show crypto isakmp policy    设置ISAKMP中标识对方的方法为address|host：   Router(config)#crypto isakmp identity {address | hostname}   标识方法为主机名时，需指定对应关系   Router(config)#ip host 主机名 地址1[地址2...地址8]    确定使用的密码：   Router(config)#crypto isakmp key 密码 address 地址 or   Router(config)#**crypto isakmp key 密码 hostname 主机名 **      

第二阶段：

变换集： AH消息摘要验证算法：   AH transform：ad-md5-hmac | ad-sha-hmac ESP可用DES、3DES或不加密：   ESP Encryption transform：esp-des | esp-3des | esp-null | esp-md5-hmac | esp-sha-hmac

  （1）定义交换集     Router(config)#crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]   例：crypto ipsec transform-set myset1 ah-sha-hmac sep-3des -sep-md5-hmac   （2）定义IPSEC的工作模式（可选）     Router(cfg-crypto-tran)#mode [tunnel | transport]   （3）显示交换集     Router#show crypto ipsec transform-set

   安全关联生存时间：   （1）定义IPSec SA的生存时间     Router(config)#crypto ipsec security-association lifetime seconds 秒数   （2）统计以隧道模式传输的数据量     Router(config)#crypto ipsec security-association lifetime kilobytes 数据量    创建加密用ACL：   Router(config)# access-list access-liet-number {deny | permit} protocol source source-wildcard destination destination-wildcard [log]    创建加密图：   （1）创建加密图的名称、序列号     Router(config)#crypto map map-name seq-num ipsec-isakmp   （2）匹配要加密的数据流     Router(config-crypto-m)#match address access-list-id   （3）确定对方地址     Router(config-crypto-m)#set peer {hostname | address}   （4）确定变换集     Router(config-crypto-m)#set transform-set transform-set-name1 [transform-set-name2...transform-set-name6]   （5）启用向前密钥     Router(config-crypto-m)#set pfs [group1 | goup2]   （6）退出加密图     Router(config-crypto-m)#exit   （7）应用加密图     Router(config-if)#crypto map map-name   （8）显示加蜜图     Router#show crypto map [interface interface | tag map-name]    加密图例子：   access-list 101 permit ip 10.0.0.0 0.0.0.255 10.2.2.0 0.0.0.255   crypto ipsec transform-set myset1 esp-des esp-sha   crypto ipsec transform-set myset2 esp-3des esp-md5-hmac   crypto map toRemoteSite 10 ipsec-siamp   match address 101   set transform-set myset2   set peer 10.2.2.5   interface Serial0   ip address 10.0.0.2   crypto map toRemoteSite