1、配置IKE(ISAKMP)策略定义IKE Phase One中的一些策略,包括加密算法(Encryption),Hash算法(HMAC),密钥算法(Diffie-Hellman),认证方式(Aut
.
1、配置IKE(ISAKMP)策略
定义IKE Phase One中的一些策略,包括加密算法(Encryption),Hash算法(HMAC),密钥算法(Diffie-Hellman),认证方式(Authentication)
加密算法(Encryption) 总共有DES,3DES,AES 128,AES 192,AES 256,默认为DES。
Hash算法(HMAC) 总共有SHA-1,MD5,默认为SHA-1。
密钥算法(Diffie-Hellman) Groups 1 (768 bit),Group 2(1024 bit),Group 5(1536 bit),默认为Groups 1 (768 bit)。
认证方式(Authentication) 共总有Pre-Shared Keys (PSK),Public Key Infrastructure (PKI),RSA encrypted nonce,默认为PKI。
2、定义认证标识
添加认证信息,如密码、数字证书
3、配置IPsec transform set
定义IKE Phase Two中一些加密算法以及HMAC算法,此transform set就是定义了×××流量中的数据包是受到怎样的保护。
加密算法(Encryption) 总共有DES,3DES,AES 128,AES 192,AES 256,默认为DES。
Hash算法(HMAC) 总共有SHA-1,MD5,默认为SHA-1。
4、定义感兴趣流量
定义哪些流量需要通过×××来传输,通过IPsec来保护;ACL中被permit匹配的的流量表示加密,而被deny匹配的流量则表示不加密。在配置ACL定义感兴趣流量时需要格外注意的是ACL中不要使用any来表示源或者目标,否则会出问题。
5、创建crypto map
将之前定义的ACL,加密数据发往的对端,以及IPsec transform结合在crypto map中。
6、将crypto map应用于接口
crypto map配置后,是不会生效的,必须将crypto map应用到接口上,目前还没有听说crypto map对接口类型有任何要求,也就是正常接口都可以应用,当然必须是三层可路由接口。
