×××配置需要的步骤主要有三步:
1、配置IKE协商
2、配置Ipsec
3、配置接口应用
一、配置IKE协商:
①启用IKE
在默认情况下IKE是启用的如果人为关闭,要启用使用命令:
Ra(config)#crypto isakmp enable
②建立IKE协商:
Ra(config)#crypto isakmp policy <1~10000>
策略优先级<1~10000>编号越低优先级就越高
③配置IKE协商参数:
使用上个命令后进入IKE配置模式,在此模式下配置IKE的各种参数
R(config-isakmp)#hash {md5 | sha1}
hash命令被用来设置密钥认证所用算法
R(config-isakmp)#encryption {des | 3des }
encryption用来设置加密所用的算法
④告诉路由使用预先共享密钥
R(config-isakmp)#authenticaion pre-share
⑤声明SA的生存时间
Rconfig-isakmp)#lifetime 3600 (默认是86400,也就是一天)
⑥设置共享密钥和对端地址
R(config)#crypto isakmp key <password> address <peer-address>
共享密码×××两端必须一样。
二、配置IPsec
IPsec主要有2个命令:
①指定crypto访问列表
R(config)#access-list 101 {permit | deny } <protocal> <source IP> <destination IP>
此列表为1个扩展访问列表
②配置IPsec传输模式
R(config)#crypto ipsec transform-set <***1> <ah-md5-hmac> <esp-des> <esp-md5-hmac>
角括号中的为可选参数
注:AH验证:ah-md5-hmac ah-sha-hmac
ESP加密验证:esp-des esp-3des esp-null
ESP验证参数:esp-md5-hma esp-sha-hmac
<×××1>是对传输模式命的名称
三、端口应用
①设置crypto map
R(config)#crypto map <map-name> <seq-num> ipsec-isakmp
参数seq-num表示此map的优先级
②配置ceypto map访问控制列表
R(config-crypto-map)#match address <列表号>
③设置×××对端IP地址
R(config-crypto-map)#set peer <对端IP地址>
④配置ceypto map的传输模式
R(config-crypto-map)#set transform-set <传输模式名称>
⑤应用接口
R(config)#interface s0
R(config-if)#crypto map <map-name>
R(config-if)#crypto map <map-name>
转载于:https://blog.51cto.com/haozi/335688