IPSec配置命令

1、IPSec配置命令  2010-06-25 14:57:48|  分类： 路由交换|字号 订阅IPSec配置命令ipsec配置命令包括：    1 clear crypto sa    2 crypto ipsec transform-set    3 crypto map    4 crypto map ipsec-manual|ipsec-isakmp    5 cryto ipse

2、c security-association lifetime    6 match address    7 mode    8 set peer    9 set security-association lifetime    10 set session-key ah    11 set session-key esp    12 set transform-set &

3、#160;  13 show crypto ipsec sa    14 show crypto ipsec security-association lifetime    15 show crypto ipsec transform-set    16 show crypto map    17 debug crypto ipsec1 clear crypto sa    命令：clear crypto sa map ma

4、p-name map-number peer ip-address    功能：删除安全联盟。    参数：map指定加密映射集；map-name map-number为加密映射集的名称或号码；peer 指定对端的ip地址；ip-address为对端的ip地址。    命令模式：特权用户配置模式。    使用指南：如果未使用map、peer关键字，所有的ipsec安全联盟都将被删除。   

5、0;举例：删除由map-tunnel1创建的所有现存的安全联盟。    router#config    router(config)#clear crypto sa map map-tunnel12 crypto ipsec transform-set    命令：crypto ipsec transform-set transform-set-name transform1 transform2 transform3    no crypto ipsec tra

6、nsform-set transform-set-name    功能：定义变换集合，并进入到加密变换配置模式。该命令的no操作为清除变换集合。    参数：transform-set-name为变换表的名字，不能包括空格；transform为变换，定义在ipsec安全联盟协商期间，两端协商使用哪种特定安全协议和算法来保护特定的数据流。其中transform可从下表三组中进行选择，每组最多选择一个。    缺省情况：系统缺省没有任何变换表。   

7、 命令模式：全局配置模式。    使用指南：在使用ike方式协商安全联盟时，可以定义多个变换集合，然后在一个加密映射表中设置这些变换集合中的一个或多个，协商时两端会查找双方一致的变换集合。而采用手工方式建立安全联盟时，两端之间不存在协商过程，所以双方必须指定相同的变换集合。如果对变换集合的定义进行改变，那么改变将只被应用于设置了这个变换集合的加密映射表中。改变将不被应用于现存的安全联盟，但它将被应用于随后建立新安全联盟的协商中。如果想让这些新的设置马上生效，可以通过使用clear crypto sa命令将安全联盟数据库部分或全部清除。 

8、;   举例：定义一个变换集合，名字为new，需要支持ah-md5、esp-3des、esp-sha安全协议和算法的组合，其相应的变换表配置如下：    router#config    router(config)#crypto ipsec transform-set new ah-md5 esp-3des esp-shac3 crypto map    命令：crypto map map-name    no crypto map&

9、#160;   功能：在接口上应用加密映射表集合，no操作将删除接口应用的加密映射表集合。    参数：map-name为应用在接口上的加密映射表的名字，不能包括空格。    缺省情况：系统缺省没有在接口上应用加密映射表集合。    命令模式：接口配置模式    使用指南：对于单个接口只能应用一个加密映射表集合。如果想要将相同的策略应用到多个接口上，也可以让多个接口共享同一加密映射表集合。如果为一个给定的接

10、口创建多个加密映射表，那么就要使用加密映射表的seq-num参数将这些加密映射排序，seq-num值越小，优先级越高。在配有这个加密映射表集合的接口上，首先用高优先级的映射对通信进行判断。    举例：在serial 2/0接口上应用名为map-tunnel1的加密映射表。    router#config    router(config)#interface serial 2/0    router(config-serial2/0)#crypto map ma

11、p-tunnel1   4 crypto map ipsec-manual|ipsec-isakmp    命令：crypto map map-name seq-num ipsec-manual|ipsec-isakmp    no crypto map map-name seq-num    功能：创建加密映射表，执行此命令将进入加密映射表配置模式；此命令的no操作为删除此加密映射表。    参数：map-name

12、为加密映射表名，不能包括空格；seq-num为相同名称的加密映射表的顺序号，seq-num值越小，优先级越高，其取值范围为0 65535之间的整数；ipsec-manual表示手工方式创建加密映射表；ipsec-isakmp表示ike方式创建加密映射表。    缺省情况：系统缺省没有任何加密映射表。    命令模式：全局配置模式。    使用指南：具有相同名字（但映射序列号不同）的加密映射表组成一个加密映射表集合，其中序号越小其优先级越高，然后将加密映射表集合应用到接口上。为

13、了使ipsec两端之间的ipsec通信能够顺利进行，两端的加密映射表必须包含相兼容的配置语句。当两端尝试建立安全联盟时，双方都必须至少有一条加密映射表和对端的一条加密映射表相兼容。两条加密映射表相兼容必须至少满足以下条件：1) 加密映射表必须包含兼容的加密访问列表；2) 双方的加密映射表都必须确定对端地址；3) 加密映射表必须至少有一个相同的变换集合。    举例：    例1：手工建立安全联盟的加密映射表map- tunnel1，优先级为10。    r

14、outer#config    router(config)#crypto map map-tunnel1 10 ipsec-manual    例2：ike方式建立安全联盟的加密映射表map- tunnel2，优先级为10。    router#config    router(config)#crypto map map-tunnel2 10 ipsec-isakmp5 crypto ipsec security-association lifetime

15、0;   命令：cryto ipsec security-association lifetime seconds seconds | kilobytes kilobytes    no cryto ipsec security-association lifetime seconds | kilobytes    功能：配置所有ike安全联盟的生存时间，此命令的no操作恢复缺省值。    参数：seconds指定ike安全联盟“计时”的生存周期；seco

16、nds为ike安全联盟的生存周期，单位为秒，取值范围为120 86400；kilobytes指定ike安全联盟“计流”的生存周期；kilobytes为ike安全联盟的生存周期，单位为千字节，取值范围为2560 536870912。    缺省情况：系统缺省的安全联盟的生存周期为3600s（1小时），即流量为4608000kilobytes(10mbytes/s，正好1小时)    命令模式：全局配置模式。    使用指南：安全联盟生存周期有两种类型：一种为“计时间”的生存周期

17、，另一种为“计流量”的生存周期。无论哪一种类型的生存周期先到期，安全联盟都会失效。在安全联盟即将失效前，ike将为ipsec协商建立新的安全联盟。安全联盟的生存周期只对由ike建立的安全联盟有效，手工建立的安全联盟永久有效。    举例：建立ike安全联盟的生存周期为300s。    router#config    router(config)# cryto ipsec security-association lifetime seconds 3006 match address 

18、   命令：match address access-list-number    no match address access-list-number    功能：配置加密映射表引用的加密访问控制列表；此命令的no操作是取消加密映射表引用的加密访问控制列表的配置。    参数：access-list-number为加密访问控制列表的号，取值范围为100199之间的整数。    缺省情况：系统缺省没有配置此加密映射

19、表引用的加密访问控制列表。    命令模式：加密映射表配置模式。    使用指南：这个加密访问控制列表决定哪些报文受到ipsec的保护，哪些报文不受到此加密映射表中定义的ipsec安全保护。    举例：将10.1.1.0网段的到20.1.1.0网段访问的ip数据包进行ipsec安全保护。其对加密映射表的配置如下：    router#config    router(config)#access-list 101

20、permit tcp 10.1.1.0 0.0.0.255 20.1.1.0 0.0.0.255    router(config)#crypto map map-tunnel1 10 ipsec-manual    router(config-crypto-m)#match address 1017 mode    命令：mode transport|tunnel    no mode    功能：改变变换集合的工作模式；该

21、命令的no操作为恢复缺省值。    参数：transport表示ipsec的工作方式为传送模式；tunnel表示ipsec的工作方式为通道模式。    缺省情况：系统缺省的ipsec的工作方式为隧道模式。    命令模式：加密变换配置模式。    使用指南：传送模式设置只对那些源和目标地址都是ipsec两端地址的通信有用，而对于所有其他通信无效。其他通信只能在隧道模式下进行。    举例：定义一个

22、变换集合，名字为new，需要支持ah-md5、esp-3des、esp-sha安全协议和算法的组合，同时将其工作模式设置为tunnel方式，其相应配置如下：    router#config    router(config)#crypto ipsec transform-set new ah-md5 esp-3des esp-sha    router(cfg-crypto-tran)#mode tunnel8 set peer    命令：set peer ip

23、-address    no set peer ip-address    功能：设置ipsec对端地址；此命令的no操作取消ipsec对端地址的设置。    参数：ip-address为ipsec对端的ip地址。    缺省情况：系统缺省没有设置此加密映射表的对端地址。    命令模式：加密映射表配置模式。    使用指南：ipsec安全隧道是一个点对点的概念，是建

24、立在本端和对端网关之间的，所以配置ipsec的加密映射表时必须正确设置对端地址才能成功的建立起一条安全隧道。    举例：将10.1.1.0网段的到20.1.1.0网段访问的ip数据包进行ipsec安全保护， 其对加密映射表的配置如下：    router#config    router(config)#access-list 101 permit tcp 10.1.1.0 0.0.0.255 20.1.1.0 0.0.0.255    router(c

25、onfig)#crypto map map-tunnel1 10 ipsec-manual    router(config-crypto-m)#match address 101    router(config-crypto-m)#set peer 20.1.1.19 set security-association lifetime    命令：set security-association lifetime seconds seconds | kilobytes kilobytes&#

26、160;   no set security-association lifetime seconds | kilobytes    功能：配置ike安全联盟单独生存时间，此命令的no操作恢复缺省值。    参数：seconds指定ike安全联盟“计时”的生存周期；seconds为ike安全联盟的生存周期，单位为秒，取值范围为120 86400；kilobytes指定ike安全联盟“计流”的生存周期；kilobytes为ike安全联盟的生存周期，单位为千字节，取值范围为2560 kbytes 5

27、36870912kbytes。    缺省情况：系统缺省的安全联盟的生存时间为3600s（1小时），即流量为4608000kilobytes（10mbytes/s，正好1小时）。    命令模式：全局配置模式。    使用指南：安全联盟生存周期有两种类型：一种为“计时间”的生存周期，另一种为“计流量”的生存周期。无论哪一种类型的生存周期先到期，安全联盟都会失效。在安全联盟即将失效前，ike将为ipsec协商建立新的安全联盟。安全联盟的生存周期只对由ike建立的安全联盟有效，手

28、工建立的安全联盟永久有效。    举例：设置由加密映射表map-tunnel1创建的ike安全联盟的生存时间为300秒。    router#config    router(config)#crypto map map-tunnel1 10 ipsec-isakmp    router(config-crypto-m)#set security-assocoation lifetime seconds 30010 set session-key ah &

29、#160;  命令：set session-key inbound | outbound ah spi hex-key-string    no set session-key inbound | outbound ah    功能：设置出和入的报文的ah安全参数索引（spis）和密钥；此命令的no操作为取消为出和入的报文设置的ah安全参数索引（spis）和密钥。    参数：inbound指定入报文的密钥；outbound指定出报文的密钥；spi为安全参数索引值，

30、用来标识一个安全联盟，其取值范围是256 4294967295（ffffffff）；hex-key-string为密钥，按十六进制的格式输入。    缺省情况：系统缺省没有为出和入的报文设置ah安全参数索引（spis）和密钥。    命令模式：加密映射表配置模式。    使用指南：手工方式创建的加密映射表中如果引用的变换集合包括ah协议，那么需要手工为入/出的通信设置ah安全联盟的spi和使用的验证密钥。可以为两个方向的和两个协议的安全联盟设置一样的spi，但如果安全联盟的目

31、的地址和协议号一样，则必须使用一个不同的spi。    举例：将10.1.1.0网段的到20.1.1.0网段访问的ip数据包进行ipsec安全保护，使用变换集合new（需要支持ah-md5安全协议和算法），其相应的变换表配置如下：    router#config    router(config)#crypto ipsec transform-set new ah-md5    router(config)#crypto map map-tunnel1 10 ip

32、sec-manual    router(config-crypto-m)#set transform-set new    router(config-crypto-m)#set session-key inbound ah 300 fedcbafedcbafedcbafedcbafedcbafe    router(config-crypto-m)#set session-key outbound ah 300 000111222333444555666777888999bb11 set sessio

33、n-key esp    命令：set session-key inbound | outbound esp spi cipher hex-key-string authenticatorhex-key-stringno set session-key inbound | outbound esp    功能：为出和入报文设置esp安全参数索引和密钥；此命令的no操作为取消为出和入的报文设置的ah安全参数索引（spis）和密钥。    参数：inbound指定入报文的密钥；o

34、utbound指定出报文的密钥；cipher指定esp加密密钥；authenticator指定验证密钥；spi为安全参数索引值，用来标识一个安全联盟，其取值范围是256 4294967295（ffffffff）；hex-key-string为密钥，按十六进制的格式输入。    缺省情况：系统缺省没有为出和入的报文设置esp安全参数索引（spis）和密钥。    命令模式：加密映射表配置模式。    使用指南：手工方式创建的加密映射表中如果引用的变换集合包括esp协议，那么需要

35、手工为入/出的通信设置esp安全联盟的spi和使用的加密/验证密钥。如果变换集合包括了esp加密算法，必须给出加密密钥。如果变换集合包括了esp验证算法，必须给出验证密钥。可以为两个方向的和两个协议的安全联盟设置一样的spi，但如果安全联盟的目的地址和协议号一样，则必须使用一个不同的spi。    举例：将10.1.1.0网段的到20.1.1.0网段访问的ip数据包进行ipsec安全保护，使用变换集合new（需要支持ah-md5、esp-3des和esp-sha安全协议和算法）。    router#config 

36、   router(config)#crypto ipsec transform-set new ah-md5 esp-3des esp-sha    router(config)#crypto map map-tunnel1 10 ipsec-manual    router(config-crypto-m)#match address 101    router(config-crypto-m)#set transform-set new    rou

37、ter(config-crypto-m)#set session-key inbound ah 300 fedcbafedcbafedcbafedcbafedcbafe    router(config-crypto-m)#set session-key outbound ah 300 000111222333444555666777888999bb    router(config-crypto-m)#set session-key inbound esp 4294967295 cipher fedcbafedcbafedcbafe

38、dcbafedcbafedcbafedcbafedcba authenticator fedcbafedcbafedcbafedcbafedcbafedcbafedc    router(config-crypto-m)#set session-key outbound esp 4294967295 cipher 987654321098765432109876543210987654321098765432 authenticator 999988887777666655554444333322221111000012 set transform-set

39、0;   命令：set transform-set transform-set-name    no set peer transform-set-name    功能：设置加密映射表引用的变换集合；此命令的no操作取消对加密映射表引用的变换集合的配置。    参数：transform-set-name为变换表的名字，不能包括空格。    缺省情况：系统缺省没有配置此加密映射表的变换表。  

40、60; 命令模式：加密映射表配置模式。    使用指南：对于ipsec-manual，只能指定一个变换集合；对于ipsec-isakmp，可以最多定义六个变换集合，第一个具有最高优先级。    举例：将10.1.1.0网段的到20.1.1.0网段访问的ip数据包进行ipsec安全保护，使用变换集合new（需要支持ah-md5、esp-3des、esp-sha安全协议和算法的组合）。    router#config    router(confi

41、g)#crypto ipsec transform-set new ah-md5 esp-3des esp-sha    router(config)#crypto map map-tunnel1 10 ipsec-manual    router(config-crypto-m)#set transform-set new13 show crypto ipsec sa    命令：show crypto ipsec sa map map-name map-number   

42、  功能：显示安全联盟信息。    参数：map指定加密映射集；map-name map-number为加密映射集的名称或号码。    命令模式：特权用户配置模式    举例：查看安全联盟    router# show crypto ipsec sa map map-r1-tunnel2    local ident (addr/mask/prot/port): (30.1.1.0/255.25

43、5.255.0/0/0)    remote ident (addr/mask/prot/port): (140.1.1.0/255.255.255.0/0/0)    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0    #send errors 0, #recv errors 0   

44、local crypto endpt.: 0.0.0.0, remote crypto endpt.: 120.1.1.2    inbound esp sas:    spi: 0x258(600)    transforms: esp-des esp-md5-hmac ,    in use settings =tunnel,     replay detection support: n    outbound

45、 esp sas:    spi: 0x258(600)    transforms: esp-des esp-md5-hmac ,    in use settings =tunnel,     replay detection support: n    inbound ah sas:    spi: 0x1f4(500)    transforms: ah-md5-hmac ,&#

46、160;   in use settings =tunnel,     replay detection support: n    outbound ah sas:    spi: 0x1f4(500)    transforms: ah-md5-hmac ,    in use settings =tunnel,     replay detection support: n14 show c

47、rypto ipsec security-association lifetime    命令：show crypto ipsec security-association lifetime    功能：显示安全联盟的生存周期。    命令模式：特权用户配置模式    举例：查看设置的安全联盟的生存周期。    router#show crypto ipsec security-association li

48、fetime    security-association lifetime: 4608000 kilobytes/3600 seconds.15 show crypto ipsec transform-set    命令：show crypto ipsec transform-set tag transform-set-name    功能：显示变换集合变换集合。    参数：tag指定变换集合；transform-set-name为变换集合

49、的名字。    命令模式：特权用户配置模式    举例：查看所有的变换集合变换集合。    router#show crypto ipsec transform-set    transform set trans-r1-transport2: ah-sha-hmac esp-3des esp-md5-hmac     will negotiate = transport ,    transfo

50、rm set trans-r1-tunnel2: ah-md5-hmac esp-des esp-md5-hmac     will negotiate = tunnel     router#show cry ips tr tag trans-r1-transport2    transform set trans-r1-transport2: ah-sha-hmac esp-3des esp-md5-hmac     will negotiate = transport ,16 show crypto map    命令：show crypto map tag map-name map-number | interface interface    功能：显示加密映射表信息。    参数：tag指定变换集合；transform-set-name为变换集合的名字；interfac