Ipsec 详细配置

2009-05-18 22:09:50

1.Berlin(config)#crypto isakmp enable

启用IKE/isakmp(建立传送IPsec隧道参数的隧道)

2.Berlin(config)#crypto isakmp policy 1

设置isakmp策略

Berlin(config-isakmp)#authentication pre-share

身份验证方法：pre-share/rsa-encr/rsa-sig

Berlin(config-isakmp)#encryption 3des

加密的方法：des/3des/aes

Berlin(config-isakmp)#group 5

传密钥的方法D-H算法：1/2/5

Berlin(config-isakmp)#hash sha

完整性的方法：md5/sha

Berlin(config-isakmp)#lifetime 3600

isakmp/IKE的SA的存在时间

Berlin(config-isakmp)#exit

Berlin(config)#crypto isakmp key cisco address 192.168.0.1

预共享密钥是什么，IKE/isakmp对端是什么

3.Berlin(config)#crypto ipsec transform-set 10 esp-3des ah-sha-hmac

配置IPSec转换集合

Berlin(cfg-crypto-trans)#mode tunnel

采用隧道模式还是传输模式tunnel/transport

Berlin(cfg-crypto-trans)#exit

Berlin(config)#crypto ipsec security-association lifetime seconds 3600

IPSec安全关联存在的时间

4.Berlin(config)#access-list 101 permit ip 20.0.0.0 0.0.0.255 10.0.0.0 0.0.0.255

什么样的流量要进隧道加密

5.Berlin(config)#crypto map mymap 110 ipsec-isakmp

建立加密映射

Berlin(config-crypto-map)#match address 101

访问控制列表101的流量要加密

Berlin(config-crypto-map)#set peer 192.168.0.1

IPSEC SA对端是192.168.0.1

Berlin(config-crypto-map)#set transform-set 10

IPSEC SA的参数采用转换集名称10

Berlin(config-crypto-map)#exit

6.Berlin(config)#int f0/0

Berlin(config-if)#crypto map mymap

加密映射应用到接口上

Berlin#show crypto isakmp policy

查看IKE/isakmp策略

Global IKE policy

Protection suite of priority 1

encryption algorithm: Three key triple DES

hash algorithm: Secure Hash Standard

authentication method: Pre-Shared Key

Diffie-Hellman group: #5 (1536 bit)

lifetime: 3600 seconds, no volume limit

Default protection suite

encryption algorithm: DES - Data Encryption Standard (56 bit keys).

authentication method: Rivest-Shamir-Adleman Signature

Diffie-Hellman group: #1 (768 bit)

lifetime: 86400 seconds, no volume limit

Berlin#show crypto ipsec transform-set

查看ipsec转换集

Transform set 10: { ah-sha-hmac }

will negotiate = { Tunnel, },

{ esp-3des }

Berlin#show crypto isakmp sa

查看IKE/isakmp的安全关联

dst src state conn-id slot status

192.168.0.1 192.168.0.2 QM_IDLE 1 0 ACTIVE

Ipsec 详细配置

继续阅读

软件开发的风险管理之二

java学习之心得体会

程序员基本素质要求

8个道理，让你的程序人生受益终生

[转]俞敏洪：在职场混好必读的22本书

我遇到的一些国内开发者的毛病我遇到的一些国内开发者的毛病不会问问题缺失获取信息的能力缺乏知识体系盲目跟风缺乏责任感不独立思考不切实际不阅读太把技术当回事不思进取

我的职业生涯（四）

[好文摘录] 怎么样向老板提问看上去不蠢？工作中的两种思维如何通过问问题明确任务职场中有80%的时间花在沟通上，剩下的20%才是你完成任务的时间。学会问问题，是职场沟通中最重要的技能之一。

一秒看透本质的人，是如何思考的？

程序员简历上写这种项目，难怪面试当炮灰。。。二、如何让你的项目经验更有技术含量

程序员不了解这些投简历的巨坑，面试注定一开始就失败！前言第一阶段：练手第二阶段：冲刺第三阶段：收尾

在公司里写代码天天摸鱼偷懒，出去面试又该怎么写简历？

砺鹰职业测评|更了解自己的职业兴趣

面试的三重境界

世界500强常用的管理方法和工具

一个四年java程序员的年终总结