2659使用手册配置手册安全

1、第1 章AAA 配AAA 概AAA 安全服使用AAA 的优AAA 基本原AAA 方法列第1 章AAA 配AAA 概AAA 安全服使用AAA 的优AAA 基本原AAA 方法列AAA 配置过1.2.1AAA 配置过程概 AAA 认证配置任务列AAA 认证配置任使用AAA配置登录认使用AAA进行PPP 认1.4.3 为AAA认证配置消息标1.4.7 建立本地用户名认证数据1.4.8 1.5AAA 认证配置示配置任1.7.1 AAA 示AAA 记帐配置任务列AAA 记帐配置任使用AAA配置connection 记使用AAA配置network 记使用AAA配置记帐更1.10.4 抑制无用户名的用户记第2

2、 章RADIUS 配概RADIUS概RADIUS协议操RADIUS配置步RADIUS配置任务列RADIUS配置任配置路由器与RADIUS服务器的通-I的RADIUS属性配置路由配置RADIUS 认 2.5RADIUS 配置示2.5.1的RADIUS属性配置路由配置RADIUS 认 2.5RADIUS 配置示2.5.1RADIUS2.5.2AAA中应用RADIUS 示第3 章TACACS+配 示示第4 章IPSec 配IPSec 概4.1.2 术4.1.3 限IPSec工作过程概IPSec 嵌IPSec 配置任务列IPSec 配置任4.3.1 确列表和IPSec相兼4.3.2 开启/创建加在加列

3、表中使用any关键4.3.8 -II4.3.11 IKE4.3.12 将加1 IKE4.3.12 将加4.4IPSec 配置示第5 章配置 ernet 密钥交换安全协5.1 概IKE 概5.1.3 术IKE 配置任务列IKE 配置任5.3.1 列表与IKE兼创建IKE 策清除IKE连接（可选5.3.5（可选5.4IKE 配置示第6 章Web 认证配6.1 概理解Web认规划web 认配置web 认使能web 认web 认web认证配置示外置DHCPServerweb 认证配内置DHCPServerweb 认证配-III第1AAAAAA服务器（NAS）的服务种类。提供认证AAAAAAdefaul

4、t第1AAAAAA服务器（NAS）的服务种类。提供认证AAAAAAdefaultRADIUS或TACACS+安全服务器。像RADIUS 和这样安全服务器，通过与用户相联系的属性值（AV）对（Attribute-Pairs）AAA AAA进行的形式向 TACACS+或量。当激活功能时，网络服务器以AAA-1AAAAAAAAA AAA AAAAAAAAA AAA （defaultAAA AAA 方法的表格。在方法列表中可AAA 服务，或者所有的方法用完为止。 AAAR1服务器，T1T2TACACS服务器。AAAAAA-21-1AAAR1R1 R2，如果 R2T1T1 T2令，创建一张缺省的方法列表

5、：aaaauthenticationpppdefault radius local1-1AAAR1R1 R2，如果 R2T1T1 T2令，创建一张缺省的方法列表：aaaauthenticationpppdefault radius local。本例中，default 是方法列表的名称，包括在方法列表中的协议以及他们将被查询的次序当用户试图通过拨号进入网络时，网服务器首先 FAIL ERROR 应答是截然不同的两个东西，FAIL 意FAIL 应答结束。 ERRORAAAERROR应答时，aaaauthenticationpppdefaultradiusaaaauthenticationpppas

6、ync0radiustacacs+localnone erface async 0/0pppauthentication在这个例子中，async0 是方法列表的名称，包括在这个方法列表中的认证协议依次列在注意：aaaauthentication 命令中的方法名称必须与 pppauthentication命令中的方法列表名称-3AAA。AAA 服AAAaaaauthenticationaaaauthorization配置（可选aaaaccounting配置（可选AAAAAAAAAAAA。AAA 服AAAaaaauthenticationaaaauthorization配置（可选aaaaccoun

7、ting配置（可选AAAAAAAAAPPPAAAAAAAAAAAAaaaauthentication-4。AAAaaa authenticationAAAaaa authentication login张或是多张认证方法的列表，这些列表在登录时使用。使用线路配置命令 关键字eethod所采用的实际方法。仅当前面所用的方法返回认证错误时，才会使用其他的认证方法，如果前面的方法指明认证失败了，则不再使用其他的认证方法。如果要指定即使所有的nneaaa。AAAaaa authenticationAAAaaa authentication login张或是多张认证方法的列表，这些列表在登录时使用。使用

8、线路配置命令 关键字eethod所采用的实际方法。仅当前面所用的方法返回认证错误时，才会使用其他的认证方法，如果前面的方法指明认证失败了，则不再使用其他的认证方法。如果要指定即使所有的nneaaaauthenticationlogindefaulttacacs+ RADIUSaaaauthenticationlogindefaultnone使得登录的任何用户都可成功的通过认证，所以应当将该关键字作为备console口登陆以外，其它-5使用enablegroupgroupRADIUS group使用TACACS+ 使用线进行认证local-list-namemethod1line aux | c

9、onsole | tty | vty line-loginauthenticationdefault|list-应用该认证列表于某条或是某几个enableaaa authentication login命令中使用enable enable口令作为enableaaaauthenticationlogindefaultaaaauthentication loginline 方法关键字指定线路口令作为登任何其他方法，可以输入下面 令行：aaaenableaaa authentication login命令中使用enable enable口令作为enableaaaauthenticationlogin

10、defaultaaaauthentication loginline 方法关键字指定线路口令作为登任何其他方法，可以输入下面 令行：aaaauthenticationlogindefaultaaaauthenticationloginlocal aaaauthenticationlogindefaultRADIUS 进行登录认证aaaauthenticationlogin命令时，用radius RADIUS作为RADIUS aaaauthenticationlogindefaultRADIUSRADIUSRADIUS在使用aaaauthenticationloginTACACS作为认证方法。例

11、如，在用户登录时指定 TACACSaaaauthenticationlogindefaultACACS+AAAPPPISDN 网络中心服务器。AAA PPPPPP aaa authentication pppAAA认证。配置时，在全局配置模式下使用下面-6list-namemethod1aaa authentication 命令，可以创建一张或是几张认证方法列表，在用户开始运行 aaaauthenticationpppdefault aaaauthenticationpppdefaulttacacs+aaa authentication 命令，可以创建一张或是几张认证方法列表，在用户开始运行

12、aaaauthenticationpppdefault aaaauthenticationpppdefaulttacacs+none使得登录的任何用户都能成功的被认证，所以应当将该关键字作为备用PPPPPP在aaaauthenticationppp命令中用local关键字指定使用本地用户名数据库进行认证。例如，在运行PPP 的aaaauthenticationpppdefaultPPPaaaauthenticationpppRADIUS关键字指定RADIUSRADIUS aaaauthenticationpppdefault-7groupgroup-group使用RADIUS group使用T

13、ACACS+ local-erface-typeppp authentication chap | pap | chap |papchapdefault|list-将认证列表应用于某条或是某几条RADIUS 作为RADIUSPPPRADIUSaaa authentication ppp命令中，用TACACS+关键字指定TACACS+作为运行 aaaauthenticationpppdefaultACACS+RADIUS 作为RADIUSPPPRADIUSaaa authentication ppp命令中，用TACACS+关键字指定TACACS+作为运行 aaaauthenticationppp

14、defaultACACS+aaaauthentication enable default命令创建一个认证方法列表，这些方法决定了某个用户是否可以执行 级别的 EXEC 命令。可以至多指定四种认证方法。仅当前面所method当配置了 enable 认证方法为远端认证时（即配置了 group，group-restrict，radius 或 tacacs+关键字时RADIUSTACACS+认证的用户名不同，下面RADIUSenable 命令后enable7，如果此时配置了使用RADIUS RADIUSRadius Server的用户名为$ENABLE15$ -8使用enablegroupgroup

15、-groupgroup使用TACACS+ method1在用户进级别时开启口令认证Radius Server 的用户数据库中，要指明用于TACACS+enable 认证：enablechenenable 认证时使用的用户名也是 chen，如果用户登录路由器时没有被要求认证或者认证时没有被要求输DEFAULT，需要在TACACS+ Server认证的用户的服务类型AAARadius Server 的用户数据库中，要指明用于TACACS+enable 认证：enablechenenable 认证时使用的用户名也是 chen，如果用户登录路由器时没有被要求认证或者认证时没有被要求输DEFAULT，需

16、要在TACACS+ Server认证的用户的服务类型AAA配标配置登陆失败标使用说 noaaaauthentication username-promptTACACS或是RADIUS-9aaa authentication fail-message delimiter text-string delimitertext-string delimiter配置一个个性化的登标使用aaaauthenticationpassword-prompt noaaa authentication password-promptTACACS或是RADIUS 使用aaaauthenticationpassword

17、-prompt noaaa authentication password-promptTACACS或是RADIUS no 形式：username name nopassword | password password | password encryption-encrypted-usernamenameusernamenamecallback-ephone-usernamenamecallback-rotaryrotary-group-usernamenamecallback-linetty|auxline-numberending-line-usernamenameusernamenam

18、eprivilegeusernamenameuser-maxlinksnousername-10在提示用户输入用户名时改变缺省的显示文本。建立本enable级noenablepasswordencryption-typeencrypted-passwordlevelnoenablepasswordlevelAAARADIUS 建立本enable级noenablepasswordencryption-typeencrypted-passwordlevelnoenablepasswordlevelAAARADIUS 认证示RADIUSRADIUSaaaauthenticationloginradi

19、us-loginradiuslocal aaa authentication ppp radius-ppp radiusaaaauthorizationnetworkradius-networkradius line tty/vtyloginauthenticationradius-erial命令aaaauthenticationloginradius-loginradiuslocal配置路由器在认证登录用户 aaaauthenticationpppradius-pppradius将路由器配置为：在用户尚未登录chappappppEXEC已经对用户进行了认证，aaa authorization

20、 network radius-network radiusradius服务，如：地址分配以及其控制项目inauthenticationradius-3radius-loginTACACS认证示 aaaauthenticationppptesttacacs+pppauthenticationchappaptest tacacs server tacacskey-11aaaauthentication ppp test tacacs+ localtest，该方法列表用 在认证期间，TACACSlocal指示使用网络服erface选择端口pppauthenticationtacacsserverT

21、ACACSIPaaaauthentication ppp test tacacs+ localtest，该方法列表用 在认证期间，TACACSlocal指示使用网络服erface选择端口pppauthenticationtacacsserverTACACSIPtacacskeyPPPAAAaaaauthenticationpppdefaultif-neededtacacs+default ppp if-needed 的意义tacacsTACACSTACACS在认证期local 指示使用路由器上的本地数据库进行认证。下面的示例为 PAP aaaauthenticationpaptest-list

22、if-neededtacacs+pppauthenticationpaptest-在本例中，由于方法列表未应用于任何端口，管理员必须使用 erface 命令选择端口，AAAaaaauthorization。-12注意：目前仅仅支持 。AAA使用aaa authorization 命令开启AAA。在aaaauthorization exec命令中，创建一 序，或者授于用户在进入外壳程序时的级别。使用线路配置命令authorization 注意：目前仅仅支持 。AAA使用aaa authorization 命令开启AAA。在aaaauthorization exec命令中，创建一 序，或者授于用户

23、在进入外壳程序时的级别。使用线路配置命令authorization snoneaaaauthorizationexecdefaulttacacs+ RADIUSexecaaaauthorizationexecdefault-13group使用命名的服务器组进group使用group使用使用本地数据库进list-namemethod1创建全列表line aux | console | tty | vty line-loginauthorizationdefault|list-应用示的配置示例展示了如何配置路由器以便使用aaaauthenticationlogindefaultlocal aaa

24、authorization exec default local!usernameexec1password0dcrpriviledge15 usernameexec2password0dcrpriviledge10 username exec3 nopasswordusernameexec4password0dcruser-maxlinksusernameexec5password示的配置示例展示了如何配置路由器以便使用aaaauthenticationlogindefaultlocal aaa authorization exec default local!usernameexec1pa

25、ssword0dcrpriviledge15 usernameexec2password0dcrpriviledge10 username exec3 nopasswordusernameexec4password0dcruser-maxlinksusernameexec5password0!netaaa authentication login default locallogin认证的默认方法列表，该方aaaauthorizationexecdefaultlocalEXECEXEC15s10exec3。exec4dcr10exec5dcr AAAAAAconnectionAAAnetwor

26、kAAAAAA-14AAAaaaaccounting。AAAconnectionaaaaccountingAAAaaaaccountingconnection命令中，创建connectionAAAaaaaccounting。AAAconnectionaaaaccountingAAAaaaaccountingconnection命令中，创建connection记帐，以提供所有从路由器产生的出站连接的信息，这些出站连接包括 net、包重装/拆分（PAD、H323rlogin等，暂时H323。配置时，从全局配置模式开始，使用如下命令：list-namemethod指定记帐过程connectionAA

27、Anetwork networkPPPSLIP会话提供信息，-15aaa accounting network start-stop | stop-only | none default | list-name group groupnamegroupgroupRADIUS group使用TACACS+ 该关键字指示所指定的方法只在所请求的用户过程结束时发送一条停止记帐通知。aaa accounting connection start-stop | stop-only | none default | list-name group groupnamelist-namemethod指定记帐过

28、程networkAAAaaa accountingAAAAAAIPCPIP将包终端使用的协商IP地址periodic aaa accounting update periodiclist-namemethod指定记帐过程networkAAAaaa accountingAAAAAAIPCPIP将包终端使用的协商IP地址periodic aaa accounting update periodicaaaaccounting newinfonewinfo。AAA系统给用户名字符串为空的用户发送记帐aaaaccountingull-16periodic number激活AAAgroupgroupRAD

29、IUS group使用TACACS+ 第2RADIUSRADIUS（RemoteAuthenticationDial-InUser Service）安全系统。定义其操RADIUSRADIUS RADIUS （AAA）命令集配置 RADIUS。本章最一节“RADIUSRADIUS 概 RADIUS ，RADIUS 第2RADIUSRADIUS（RemoteAuthenticationDial-InUser Service）安全系统。定义其操RADIUSRADIUS RADIUS （AAA）命令集配置 RADIUS。本章最一节“RADIUSRADIUS 概 RADIUS ，RADIUS 服务器的基

30、于IP的网络中，拨号用户通过RADIUS服务器进 的。（如时间、字节等等RADIUSRADIUS s）NetBIOS帧控制协议（NBFCP，NetBIOSFrameControlNetWare异步服务接口（NASI，NetWareAsynchronousX.25PAD-17 使用多种服务的网络。RADIUSRADIUS 协议操RADIUSRADIUSRADIUSACCEPT被。CHALLENGEChallengeACCEPT REJECT EXEC 。在使用 之前，必须首先完成 RADIUS 认证。ACCEPT REJECT的服务，包net、rlogin、PPP、 使用多种服务的网络。RADI

31、USRADIUS 协议操RADIUSRADIUSRADIUSACCEPT被。CHALLENGEChallengeACCEPT REJECT EXEC 。在使用 之前，必须首先完成 RADIUS 认证。ACCEPT REJECT的服务，包net、rlogin、PPP、SLIP或EXEC服务IPRADIUS配置步为了在路由器服务器上配置RADIUS ，必须执行下述任务aaaauthentication全局配置命令定义使用RADIUSaaaauthenticationaaaauthorizationaaa accounting aaaaccountingRADIUS配置任务列RADIUS-18RAD

32、IUSRADIUSRADIUS配置任RADIUSRADIUS Livingston、MeritRADIUS 口令并交换响应。使用 radius-server host 命令来指定 RADIUS 服务器，使用radius-serverkeyRADIUSernet 工程任务组（RADIUSRADIUSRADIUS配置任RADIUSRADIUS Livingston、MeritRADIUS 口令并交换响应。使用 radius-server host 命令来指定 RADIUS 服务器，使用radius-serverkeyRADIUSernet 工程任务组（IETF）草案标准通过使用厂商服务器和 RAD

33、IUS 服务器之间交互基于厂商的（Attribute26属性（VSA）RFC（RADIUS-19radius-servervsasend服务器能够如同RADIUS IETF属性26所定义的那样去识别和使用厂 指定路由器在放弃重试之前向服务器传输每个RADUS请求的次数（缺省值为2。radius-servertimeout radius-server host ip-address auth- radius-serverkeyRADIUSRADIUSRADIUSRADIUS认证定义RADIUSAAAaaa 命令，指定RADIUS程aaaauthorization命令，指定RADIUSRADIUS

34、RADIUSRADIUSRADIUS认证定义RADIUSAAAaaa 命令，指定RADIUS程aaaauthorization命令，指定RADIUS RADIUS配置示RADIUS 认证RADIUSaaa authentication login use-radius radius local aaaauthenticationpppuse-radiusif-neededradius aaa authorization exec radiusaaaauthorizationnetwork：aaa authentication login use-radius radius local命令配置路

35、由器在登录过程中使用 RADIUS 进行认证。如果 RADIUS 服务器返回认证错误（ERROR，再使用本RADIUS 认证，然后再进行本地认证。aaa authentication ppp use -radius if-needed radius命令使得当用户还没有被认证时PPP 的CHAP 或PAP 认证过程通过RADIUS 服务器若在提供EXEC服务时已对用户进行了认证，则此处不再进行RADIUS认证。本例中，use-radius是方法列表名，它定义了一个 必要才进行的（if-needed）认证方法。aaaauthorizationexecradiusEXEC。-20aaa author

36、ization network radiusNETWORK（PPP、SLIP）。AAARADIUSAAAaaa authorization network radiusNETWORK（PPP、SLIP）。AAARADIUSAAAradius-serverhostradius-server key myRaDiUSpassWoRd username root passwordAlongPassword aaaauthenticationpppdialinsradiuslocal aaa authentication login admins localline1loginauthenticati

37、onerface async0/encappppauthenticationpapradius-serverhostRADIUSIPradius-server aaa authentication ppp dialins radius localdialins，它指pppauthenticationpapdialinsdialinsaaa authentication login admins local loginauthenticationadminsadmins-21第3TACACS+配TACACS+概权和 的能力（控TACACS+的协议操1ASCII 形第3TACACS+配TACACS

38、+概权和 的能力（控TACACS+的协议操1ASCII 形式的认ASCII 项目，诸如证件号码等，一切都是在 TACACS+服务器程序的控制之下进行的。-222. PAPCHAP形式的认 文中，而不是由用户输入，所以不用提示用户输入相关信息。CHAP 阶段，但在处理TACACS+2. PAPCHAP形式的认 文中，而不是由用户输入，所以不用提示用户输入相关信息。CHAP 阶段，但在处理TACACS+ EXECNETWORKTACACS+配置流 令，为网络 服务器和TACACS+服务器之间的所有信息交换指定加密密钥。同一密钥TACACS+服务器程序中进行配置。 aaaauthentication

39、使用line 和erface命令对端口或线路运用所定义的方法列表与此相关的TACACS+配置任务列-23服务器之间的网络连接中。如果收到ERROR回应，一般情况下，网服务器会试着使用法对用户进行认证TACACS+配置任指定 TACACS+服务tacacs server命令使你能够指定TACACS+IP配置的顺序搜索主机，这一特色对于设置不同的服务器优先级是有用的。为了指定tacacsserver 的 TACACS操作，可能更有效。TACACS+配置任指定 TACACS+服务tacacs server命令使你能够指定TACACS+IP配置的顺序搜索主机，这一特色对于设置不同的服务器优先级是有用的

40、。为了指定tacacsserver 的 TACACS操作，可能更有效。multi-connection 则是指示采用多条 TCP portTACACS+TCP49是timeout参数，指定路由器等待服务器回应的时间上限（keytacacs server tacacs timeout 命令设置的全局超时值； 使用 tacacs servertacacskey本命令配置唯一的 TACACS+连接来加强网络的安全性。设置 TACACS+加密密为了成功地进行加密，必须对 TACACS+指定使用 TACACS+进行认TACACS+AAAaaa信息，请参见“认证配置”-24tacacskeytacacss

41、erverip-single-connection| multi-connection eger timeoutegerkeystring指定使用 TACACS+进 权配置”指指定使用 TACACS+进 权配置”指定使用 TACACS+进使得能够用户正在使用的服务以及他们消耗的网络资源的数量。由于AAAaaa accountingTACACS+配置示TACACS+认证示 aaaauthenticationppptesttacacs+local tacacs server tacacskeyerialpppauthenticationchappapaaa authentication 命令定义了

42、运行 PPP 的串口上使用的认证方法列表 test。关键字 tacacs+意味着认证通过 TACACS+进行，如果 TACACS+ERRORlocaltacacsserverTACACS+IPtacacskey命令定义共享testkey。erface命令选择端口，pppauthecticationtest而default：aaaauthenticationpppdefaultif-neededtacacs+local tacacs-server host tacacs-serverkeyerialpppauthentication-25aaa authentication 命令定义运行 PPP

43、 的串口上使用认证方法列表 default。关键字 if-neededPPP认证就不再必要；tacacs+TACACS+TACACS+在ERRORlocal指示使用网络tacacsserverTACACS+IPtacacskey命令定义aaa authentication 命令定义运行 PPP 的串口上使用认证方法列表 default。关键字 if-neededPPP认证就不再必要；tacacs+TACACS+TACACS+在ERRORlocal指示使用网络tacacsserverTACACS+IPtacacskey命令定义goaway。ppp aaaauthenticationpppdefa

44、ultif-neededtacacs+local aaa authorization network default tacacs+tacacsservertacacskeyerialpppauthenticationpppauthorizationaaa authentication PPP default。关键字 ERRORlocal指示使用网络aaaauthorizationTACACS+。tacacsserverTACACS+IP。tacacs key命令定义共享的加密密钥为 goaway。 PPP认证的方法列表使用TACACS+：aaaauthenticationpppdefault

45、if-neededtacacs+local aaa accounting network default stop-only tacacs+ tacacs server tacacskeyerialpppauthenticationpppaccounting-26aaa authentication PPP 协议使用的认证方法列表defaultif-needed 意PPPtacacs+TACACS+TACACS+在认证期间返回某aaa authentication PPP 协议使用的认证方法列表defaultif-needed 意PPPtacacs+TACACS+TACACS+在认证期间返回某

46、ERRORlocal 服tacacsserverTACACS+IP。tacacs key命令定义共享的加密密钥为 goaway。erface ppp authectication pppaccounting-27第4IPSec （例如 ernet）IPSecIPSec的设备（例如本公司路由器）IP 包进行保护和验证。IPSec数性IPSec发送方在通过网络传输报文前对报文进行加密第4IPSec （例如 ernet）IPSecIPSec的设备（例如本公司路由器）IP 包进行保护和验证。IPSec数性IPSec发送方在通过网络传输报文前对报文进行加密数据来源验证IPSecIPSec抗重播IPSec

47、有了 。IPSec命令的完整阐述，请参阅“IPSec IPSecIPSec 完整性、数据验证的一种开放标准框架。IPSec IP IKEIPSec 使IKEIPSec 起使用的。IKEIPSec IPSec IPSec ernet-284.1.3DES3DES IV168DES-CBC。3DESDES （AES4.1.3DES3DES IV168DES-CBC。3DESDES （AESNIST标准。AES 意在执行一种未分类的、公开于众的对称加密算法。AES DES更加安全。AES256 位。 SHA（HMAC变量）SHA是一种散列算法。HMAC是一个用于对数据进行验本公司路由的IPSec还支

48、持下列这些标准 包（隧道模式。AHESPRFC2402ESPIP 完整性等安全服务。ESP可用来保护一个上层协议（传输模式）数据包（隧道模式RFC2406现阶段，IPSec IP IPSec 工作组还没有从事组密钥分布IPSec（NT，那么应该配置静态NATIPSec正常工作。总而言之，NAT翻译必须在路由器进IPSec 封装之前进行；换句话说，IPSec 应该使用全局地址。IPSecIPSec得IPSec 和算法将被应用于敏感报文，同时指定了 IPSec 两端将使用到的密钥。安全的，每个安全性协议（AH 或ESP）都分别建立。IPSec -29列表中的第一条permit规则时，并且相应的加。

49、如果加列表中的第一条permit规则时，并且相应的加。如果加 IKE 时，需要重新协商（这提供了一层附加的安全性IPSec IPSec IPSec加密表进行处理如果一个未加密报文匹配了和一个 列表中的 permitIPSec IPSecIPSec安全协IPSecIPSecIPSecIPSec 隧道。在下图所示的例子中，路由器 A 使用 IPSec 对去往路由器 C 的通信进行封装（路由器CIPSec对端AIPSec对这个通信B。4-1IPSec， -30IKEIPSec IPSec确列表和IPSec相兼加列表技在加列表中使用any关键表表表IKE表确列表和IPSec相兼IKEIKEIPSec

50、IPSec确列表和IPSec相兼加列表技在加列表中使用any关键表表表IKE表确列表和IPSec相兼IKEUDP500。PAHIP50、51问列表时，IPSec50、51UDP500开启/id，idip地址作为验ip fqdn,dn 等。-31cypto打开协商功ididididid 和一般列表不同，一般列表用于决定一个接口上的哪些通信可以通过，IPSecIPSec进行保护的出报文（permit 为保护 ididididid 和一般列表不同，一般列表用于决定一个接口上的哪些通信可以通过，IPSecIPSec进行保护的出报文（permit 为保护 IPSec 保护而没有受到保护的通IPSecIK

51、EIPSec，另一种报文使 表中，这些加表设定了不同的IPSec策略 -32ips-listextended进入的扩展列表配置模式允许命令设规则deny命令设规则protocol ource-mask cryptoidentification进入的idfqdndn配置一个dn类型的表一条规则，IPSec在加列表中使用any关键列表的时候，使用any关键字可能会带来问题。所以不提倡用any关键IPSecpermitany关键字； any表一条规则，IPSec在加列表中使用any关键列表的时候，使用any关键字可能会带来问题。所以不提倡用any关键IPSecpermitany关键字； any关键字

52、将导致多点传送失败。permit any any语句尤其不宜使用，因为这将导致所有IPSec安全IKE clear crypto sa命令将安全-33 定义一个变换集合执行此命令将进入加密变换配置态。transform-typetransform1 modetunnel|表表IPSecIPSec保护（列表IPSecIPSecIPSec安全策略（从一个或多个变换集合中选择是手工建立还是通过 IKE 建其他可能用于定义 IPSec 安-34AH ESP表表IPSecIPSec保护（列表IPSecIPSecIPSec安全策略（从一个或多个变换集合中选择是手工建立还是通过 IKE 建其他可能用于定义

53、IPSec 安-34AH ESPESP采用DES的 ESP加密算带 ESP 采用 3DES的ESP加密带 ESP 采用AES的 ESP加密算采用AES的 ESP加密算采用AES的 ESP加密算具有相同加表名（序列号不同） 表指定了使用IKE，将根据该加密IPSecIPSecIPSecIPSec通信能够顺利进行，两端的加密时，双方都必须至少有一条加密具有相同加表名（序列号不同） 表指定了使用IKE，将根据该加密IPSecIPSecIPSecIPSec通信能够顺利进行，两端的加密时，双方都必须至少有一条加密表对于单个接口可以只应用一个加密表集合。 加密表集合中包含了的 seq-num 参数将这些

54、排序；seq-num 优先级对通信进行判断。如果存在下面几种情况中的一种，就必须为一个接口如果不同的数据报文将由不同的 IPSec 对端进行处理列permit表手工安的使用是本地路由器和IPSec 对端管理员之间预先安排的结果。双方可IKE IPSec-35路由器可以同时支持手工建立安，又支持IKE建立安。创建使用IKE的加IKE-36路由器可以同时支持手工建立安，又支持IKE建立安。创建使用IKE的加IKE-36matchaddress设置IPSec 列表。这个 列表决定哪些密 表中定义的IPSec安全性的保护。idid-setpeer ip-设置变换集合, 可以指定不多于六个加密match

55、address设置IPSec 列表。这个 列表决定哪些密 表中定义的IPSec安全性的保护。setpeerip- 设置变换集合（对于ipsec-manual加密表，只能指定一个变换集合。对于set security-asso tion inbound ah spi hex-key-data set security-asso tion outbound ah spi hex-key-dataAH安全 将用于保护报文。 tioninboundespcipherhex-key-datahex-key-data和set security-assooutbound esp spi cipher hex

56、-key-data authenticator hex-key-dataS要使用这条命令来为出和入报文设置EP安EP条命令手工指定了ESP安全 将用于保护通信。退出加可以将同一加表集合应用于多个接口IKEIPSec定义加列ips-listextended 可以将同一加表集合应用于多个接口IKEIPSec定义加列ips-listextended 开启协商功crypto定义id配cryptoidentificationfqdn定义变换集cryptoipsectransform-set-37cryptomapmap-将加表集合应用于接口set security-asso tion lifetime

57、seconds seconds或setsecurity-asso tionlifetime kilobytes kilobytessetpfsgroup1|（可选）指定IPSec使用此加密 表申请新安全 时，同时申请理想转发安全机制，还 加表设置列表和变换集合 加表设置列表和变换集合，并指定加密报文发往何处（IPSec 对端cryptomaptoShanghai100ipsec-isakmp match address aaasettransform-setone set peer id将加表作用于接ipaddresscryptomap-38第5ernet标准一起使用。IPSecIKEIKE

58、IPSec 的功能。IKE 及第5ernet标准一起使用。IPSecIKEIKE IPSec 的功能。IKE 及OakleySkemeIKE实现的安全协议IKEIKEIPSec安全（SA IKEIPSecIKEIPSecIKEIPSecIKEIPSecIKE据验证IPSec 在 IP 层提供这些安全服务使用 IKE 来协商协议及算IPSecIKEISAKMPOakleySkeme密钥交换协议，可以与IPSec 协议一起使用。IKE IPSecIPSec。Oakley-39（DES man密。与一起使用建立会话密钥。支持比特和比特man（DES man密。与一起使用建立会话密钥。支持比特和比特m

59、an确列表与IKE兼IKEIKE连接（可选（可选IKEIKE 协商使用端口500 的UDP。确保UDP 500 的通IKE IPSec 使用的接口上不被 。在有些情况下需要在 列表中增加一条规则来明确地允许UDP500IKEIPSecIKEIKEIKEIKE-40IKEIKE创建策略的原IKEIKE IKE 策略开始。这个策略描IKE 协商。在两端达成公共的一个IKE策略后，该策略的安全参数由每端建立的ISAKMP安全IKEIKE创建策略的原IKEIKE IKE 策略开始。这个策略描IKE 协商。在两端达成公共的一个IKE策略后，该策略的安全参数由每端建立的ISAKMP安全将应用于所有的后续I

60、KE 通信。策略中定义的参IKE-4156DES-56DES-128位AES-192位AES-256位AES-SHA-SHA- RSA 实时加密768比特1024比特12768比特可以指定60到86400秒之间任-86400 (一天IKE 如何达成匹配的策IKE协商开始时，IKEIKE 策略。发起协商端将其所有的策略如果找到一种匹配的策略，IKEIPSec。确定策略参数加密算法有两个选择：56DES-CBC1683DES-CBC。3DES-CBC哈希算法有两个选项：SHA-1IKE 如何达成匹配的策IKE协商开始时，IKEIKE 策略。发起协商端将其所有的策略如果找到一种匹配的策略，IKEIP