ipSec ××× 的简单配置

ipSec ×××的配置

 配置IKE协商

  1 启用IKE

    Router（config）#crypto isakmp enable

 

  2 建立IKE协商策略

    Router（config）#crypto isakmp policy

    priority(取值范围1-10000，编号越小，优先级越

    高）

  3 置IKE协商参数

    Router（config-isakmp）#hash {MD5|sha1}

    hash命令被用来设置密钥认证所用的算法，有Md5和

    SHA-1两种。SHA-1比MD5更安全。

    Router（config-isakmp）#encryption

    { des | 3des }

    encryption命令用来设置加密所使用的算法，3des

    比des拥有更大的强度，不易破解，但速度慢。

    Router（config-isakmp）#authentication pre-

    share

    该命令是设置预共享密钥，此密码是手工设的。

    Router（config-isakmp）#lifetime seconds

    声明SA的生存时间，超过时间后，将被重新协商。

  4 设置共享密钥和对端地址

    Router（config）#crypto isakmp key

    keystring(对方一致) address 对方ip

 配置IpSec相关参数

  1 指定Crypto访问列表

    Router（config）#access-list 编号（100-199）

    deny | permit any any

   Crypto访问列表必须是互为镜像的。

 2 配置IpSec传输模式

   Router（config）#crypto ipsec transform-set

          name ah-md5-hmac esp-des

 配置端口的应用

 1 设置Crypto Map

   创建Crypto Map

   Router（config）#crypto map name 优先级（

   1-65535）ipsec-isakmp

   配置crypto Map

   Router（config-crypto－map）#match address

   访问列表号

   Router（config-crypto-map）#set peer 对端地址

   Router（config-crypto-map）#set transform-set name（定义策略的名字）

 2 应用Crypto Map 到端口

   Router（config）#interface 接口

   Router（config-if）#crypto map map-name