网络安全与管理精讲视频笔记12-路由器配置IPSec.ＶＰＮ命令讲解

网络安全与管理精讲视频笔记12-路由器配置IPSec.ＶＰＮ命令讲解

第五章 第一节 路由器配置IPSec.ＶＰＮ命令讲解

开启IPSec支持：Router(config)#crypto isakmp enable

第一阶段：

配置IPSec：  （1）创建ISAKMP策略并指定策略编号(优先级)    Router(config)#crypto isakmp policy 优先级  （2）指定对称加密算法    Router(config-isakmp)#encryption {des|3des}  （3）指定消息摘要算法    Router(config-isakmp)#hash {sha|md5}  （4）指定身份验证方法    Router(config-isakmp)#authentication {rsa-sig | rsa-encr | pre-share(预共享密钥)}  （5）指定DH分组编号，组1：768位，组2：1024位    Router(config-isakmp)#group {1 | 2}  （6）指定SA生存期    Router(config-isakmp)#lifetime 时间 (秒)  （7）退出isakmp    Router(config-isakmp)#exit  （8）退出config    Router(config)#exit  （9）显示IKE策略设置    Router#show crypto isakmp policy  设置ISAKMP中标识对方的方法为address|host：  Router(config)#crypto isakmp identity {address | hostname}  标识方法为主机名时，需指定对应关系  Router(config)#ip host 主机名 地址1[地址2...地址8]  确定使用的密码：  Router(config)#crypto isakmp key 密码 address 地址or  Router(config)#crypto isakmp key 密码 hostname 主机名

第二阶段：

变换集：AH消息摘要验证算法：  AH transform：ad-md5-hmac | ad-sha-hmacESP可用DES、3DES或不加密：  ESP Encryption transform：esp-des | esp-3des | esp-null | esp-md5-hmac | esp-sha-hmac

（1）定义交换集    Router(config)#crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]  例：crypto ipsec transform-set myset1 ah-sha-hmac sep-3des -sep-md5-hmac  （2）定义IPSEC的工作模式（可选）    Router(cfg-crypto-tran)#mode [tunnel | transport]  （3）显示交换集    Router#show crypto ipsec transform-set

安全关联生存时间：  （1）定义IPSec SA的生存时间    Router(config)#crypto ipsec security-association lifetime seconds 秒数  （2）统计以隧道模式传输的数据量    Router(config)#crypto ipsec security-association lifetime kilobytes 数据量  创建加密用ACL：  Router(config)# access-list access-liet-number {deny | permit} protocol source source-wildcard destination destination-wildcard [log]  创建加密图：  （1）创建加密图的名称、序列号    Router(config)#crypto map map-name seq-num ipsec-isakmp  （2）匹配要加密的数据流    Router(config-crypto-m)#match address access-list-id  （3）确定对方地址    Router(config-crypto-m)#set peer {hostname | address}  （4）确定变换集    Router(config-crypto-m)#set transform-set transform-set-name1 [transform-set-name2...transform-set-name6]  （5）启用向前密钥    Router(config-crypto-m)#set pfs [group1 | goup2]  （6）退出加密图    Router(config-crypto-m)#exit  （7）应用加密图    Router(config-if)#crypto map map-name  （8）显示加蜜图    Router#show crypto map [interface interface | tag map-name]  加密图例子：  access-list 101 permit ip 10.0.0.0 0.0.0.255 10.2.2.0 0.0.0.255  crypto ipsec transform-set myset1 esp-des esp-sha  crypto ipsec transform-set myset2 esp-3des esp-md5-hmac  crypto map toRemoteSite 10 ipsec-siamp  match address 101  set transform-set myset2  set peer 10.2.2.5  interface Serial0  ip address 10.0.0.2  crypto map toRemoteSite

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。