IPSce配置.docx

-IPSec配置-IPSec 使用加密、数据完整性、源发鉴别以及拒绝重演分组来保护和认证网络层对等端之间的IP分组IPSec对于构建内因网、外因网以及远程用户接入VPN来说非常有用处IPSec支持以下标准-Internet协议的安全体系结构-IKE(Internet密钥交换)-DES(数据加密标准)-MD5-SHA-AH(Authentication Header，认证首部)数据认证和反重演(anti-reply)服务-ESP(Encapsulation Security Payload，封装安全净荷)数据隐私、数据验证以及反重演(anti-reply)服务敏感流量由访问列表所定义，并且通过crypto map(保密图)集被应用到接口上。配置1、为密钥管理配置IKE2、（可选）定义SA的全局生命期(global)crypto ipsec security-association lifetime seconds seconds(global)crypto ipsec security-association lifetime killobytes kilobytes3、定义保密访问列表来定义受保护的流量(global)access-list access-list-number .或者(global)ip access-list extended name扩展的访问列表必须定义由IPSec保护哪种IP流量。保密图(crypto map)援引这个访问列表来确定在接口上要保护的流量。4、定义IPSec交换集(1)创建变换集(global)crypto ipsec transform-set name transform1 | transform2 | transform3可以在一个保密图(crypto map)中定义多个变换集。如果没有使用IKE，那么只能定义一种变换集。用户能够选择多达三种变换。（可选）选择一种AH变换-ah-md5-hmac-ah-sha-hmac-ah-rfc-1828（可选）选择一种ESP加密编号-esp-des-esp-3des-esp-rfc-1829-esp-null以及这些验证方法之一-esp-md5-hmac-esp-sha-hmac（可选）选择IP压缩变换-comp-lzs(2)（可选）选择变换集的模式(crypto-transform)mode tunnel | transport 5、使用IPSec策略定义保密映射保密图(crypto map)连接了保密访问列表，确定了远程对等端、本地地址、变换集和协商方法。(1)（可选）使用手工的安全关联（没有IKE协商）-创建保密图(global)crypto map map-name sequence ipsec-manual-援引保密访问列表来确定受保护的流量(crypto-map)match address access-list-确定远程的IPSec对等端(crypto-map)set peer hostname | ip_addr-指定要使用的变换集(crypto-map)set transform-set name变换集必须和远程对等端上使用的相同-（仅适用于AH验证）手工设定AH密钥(crypto-map)set session-key inbound ah spi hex-key-data(crypto-map)set session-key outbound ah spi hex-key-data-（仅适用于ESP验证）手工设定ESP SPI和密钥(crypto-map)set session-key inbound ah spi hex-key-data authenticator hex-key-data(crypto-map)set session-key outbound ah spi hex-key-data authenticator hex-key-data(2)（可选）使用IKE建立的安全关联-创建保密图(global)crypto map map-name sequence ipsec-isakmp-援引保密访问列表来确定受保护的流量(crypto-map)match address access-list-确定远程的IPSec对等端(crypto-map)set peer hostname | ip_addr-指定要使用的变换集(crypto-map)set transform-set name变换集必须和远程对等端上使用的相同-（可选）如果SA生命期和全局默认不同，那么定义它：(crypto-map)set security-association lifetime seconds seconds(crypto-map)set security-association lifetime kilobytes kilobytes-（可选）为每个源/目的主机对使用一个独立的SA(crypto-map)set security-association level per-host-（可选）对每个新的SA使用完整转发安全性(crypto-map)set pfs group1 | group2 (3)（可选）使用动态安全关联-创建动态的保密图(global)crypto dynamic-map dyn-map-name dyn-seq-num-（可选）援引保密访问列表确定受保护的流量(crypto-map)match address access-list-（可选）确定远程的IPSec对等端(crypto-map)set peer hostname | ip_addr-（可选）指定要使用的变换集(crypto-map)set transform-set tranform-set-name-（可选）如果SA生命期和全局默认不同，那么定义它：(crypto-map)set security-association lifetime seconds seconds(crypto-map)set security-association lifetime kilobytes kilobytes-（可选）对每个新的SA使用完整转发安全性(crypto-map)set pfs group1 | group2-将动态保密图集加入到正规的图集中(global)crypto map map-name sequence ipsec-isakmp dynamic dyn-map-name discover-（可选）使用IKE模式的客户机配置(global)crypto map map-name client configuration address initiate | respond-（可选）使用来自AAA服务器的预共享IKE密钥(global)crypto map map-name isakmp autho