配置IPSec:
1. 配置变换组:
1) 配置AH以及ESP协议:
Router(cofnig)#crypto transform-set transform-name protocol1 protocol2 protocol3
transform-name word 变换组的名称
protocol ah-md5-hmac 使用AH-HMAC-MD5进行鉴别
ah-rfc1828 使用AH-MD5变换(RFC1828)鉴别
ah-sha-hmac 使用AH-HMAC-SHA变换进行鉴别
esp-des 使用ESP变换使用DES密码(56位)
esp-md5-hamc 使用ESP变换使用HMAC-MD5鉴别
esp-null 使用ESP变换W/O密码
esp-rfc1829 使用ESP-DES-CBC变换(RFC1829)
esp-sha-hmac 使用ESP变换使用HMAC-SHA鉴别
2) 变换组的配置模式:(默认情况下,在隧道模式中运行)
Router(cfg-crypto-trans)#mode mode-of-operation
mode-of-operation tunnel 变换组将在隧道模式中运行
transport 变换组将在传输模式中运行
2.手动配置IPSec SA密钥的密码映射:
1)建立密码映射条目:
Router(config-crypto-map)#crpto map name-of-map sequence-number ipsec-manual
name-of-map word 密码映射的名称
sequence-number 0-65535 为远程VPN对等设备标识特定目的的地址的唯一号码
2) 指定加密哪一个数据流:
Router(config-crypto-map)#match address access-list
access-list 100-199 标识将被加密的数据流的扩展访问列表
3) 指定对等设备路由器
Router(config-crypto-map)#set peer VPN-ip-address
VPN-ip-address x.x.x.x VPN对等设备的IP地址
4) 指定变换组:
Router(config-crypto-map)#set transform-set transform-set-name
transform-set-name word 现有的变换组的名称
5) 指定密钥:
使用IOS11。3T手动配置加密密钥:
Router(cofnig-crypto-map)#set security-association direction esp spi protocol key
direction inbound 使用此密钥来对分组进行解密
outbound 使用此密钥来对分组进行加密
spi 256-4294967295 spi使用的开始序列号码
protocol cipher 此密钥用于加密
authenticator 此密钥用于鉴别
key word 此密钥是十六进制格式的(没有定向的)0x)
使用IOS12。0及12。1手动配置加密密钥:
Router(config-crypto-map)#set session-key direction esp spi protocol key
(参数同上)
使用IOS11。3T手动配置鉴别密钥:
Router(config-crypto-map)#set security-association direction ah spi key
(参数同上)
使用IOS12。0及12。1手动配置鉴别密钥:
Router(config-crypto-map)#set session-key direction ah spi key
(参数同上)
每个加密算法最小的密钥长度
算法 最小的密钥长度(按位表示)
DES 16位十六进制位
MD5 32位十六进制位
SHA 40位十六进制位
6) 对接口应用密码映射:
Router(config-if)#crypto map name-of-map
name-of-map word 先前建立的密码映射的名称(对大小写敏感)