(1.4~1.7)
1.4使用IPSec 策略定义 crypto map
crypto map 用于配置IPSec的策略,它引用了上面的访问控制列表和变换集,并确保了远程对等端地址、本地地址和协商方法。下面IKE 协商 SA 的方法
1.4 IKE 协商 SA
通过IKE 可以协商IPSec 两端所使用的配置,这意味着可以在crypto map 中指定多个可接收的变换集等参数,操作如下:
1.5创建 crypto map
Router(config)#crypto map map-name seq-num ipsec-isakmp
crypto map 被命名为map-name (文本字符串),同时被赋予了一个序号(seq-num),
在协商期间先尝试较低的seq-num 。ipsec-isakmp 表明使用IKE 来创建SA 。
1.指定本地安全联盟(即 crypto map )所引用的访问控制列表
Router(config-crypto-m)#match address access-list-id
2.设置对端的地址
Router(config-crypto-m)#set peer {hostname | ip-address}
3.指定要使用的变换集
Router(config-crypto-m)#set transform-set transform-set-name1[transform
Set-name2 … transform-set-name6]
同手工设置crypto map 相比,这里可以设置多达6个变换集。
4.可以定义不同于全局的SA 生命期(可选)
Router(config-crypto-m)#set security-association lifetime seconds seconds
Router(config-crypto-m)#set security-accociation lifetime kifetime kiloby
-tes kilobytes
5.为每个源/目标的主机使用一个独立的SA (可选)
Router(config-crypto-m)#set security-association level per-host
使用这条命令时需要注意,在给定子网间的多个数据流会很快消耗大量的资源
6.使用PFS(完美向前加密)特性(可选)
Router(config-crypto-m)#set pfs [group1 | group2]
并不是所有的平台都支持PFS 特性的
7.退出crypto map 配置模式
Router(config-crypto-m)#exit
8.将crypto map 应用到路由器的接口
Router(config-if)# crypto map map-name
9.PIX中的配置方式
TYfir(config)# crypto ipsec transform-set mine esp-3des esp-md5-hmac
TYfir(config)# crypto map mymap 30 match add no_nat
TYfir(config)# crypto map mymap 30 set peer 34.34.34.4
TYfir(config)# tunnel-group 34.34.34.4 type ipsec-l2l
TYfir(config)# tunnel-group 34.34.34.4 ipsec-attributes
TYfir(config-tunnel-ipsec)# pre-shared
TYfir(config-tunnel-ipsec)# pre-shared-key cisco
1.6IKE的配置
1.6.1 启用IKE
Rrouter(config)#crypto isakmp enable
1.6.2 创建IKE策略
1.定义一个策略
Rrouter(config)#crypto isakmp policy priority
每个策略都有一个唯一的优先级(1—10000,1的优先级最低)。IKE 从最低到最高按顺序进行匹配。
2.定义加密算法,该算法用于处理IKE 报文,而非用户数据。
Rrouter(config-isakmp)#encryption {des | 3des}
3.定义散列算法,该算法用于处理IKE 报文,而非用户数据
Router(config-isakmp)#hash {sha | md5}
4.定义认证方法,该算法用于处理IKE 报文,而非用户数据
Router(config-isakmp)#authentication {rsa-sig|rsa-encr|pre-share}
本文将使用预共享密钥即 pre-share 方法,另外两种不介绍
5.选择Diffie-Hellman 组
Router(config-isakmp)# group {1|2}
group 1表示是用768位加密,而group 2是表示用1024位加密
6.定义安全关联的生命期(可选)
Router(config-isakmp)# lifetime seconds
7.退出IKE 策略配置模式
Router(config-isakmp)# exit
1.7配置预共享密钥
Router(config)#crypto isakmp key {0 | 6}keystrin {address peer-address | hostname peer-hostname}(其中,0与6 分别表示以明文和密文的形式表示密钥字符串。密钥字符串通过peer-address 或者 peer-hostname 来标识,两个对等的密钥字符串必须相同。)
4.在接口中调用 crypto map
1.PIX 中的配置
TYfir(config-tunnel-ipsec)# crypto map mymap 30 set transform-set mine
TYfir(config)# crypto map mymap interface outside
· · · · · ·未完待续