試驗top:
***的包括一下幾個步驟:
1.配置ike的協商
2.配置ipsec的協商
3.配置端口的應用
4ike的調試和排錯
按照步驟
建立ike 的協商策略和參數
R1<config>#crypto isakmp policy 編號<1-10000>編號越低優先級越高
#hash { md5 | sha1 } 此 表明設置密匙認證用的算法sha1比md5 安全性高
#encryption { des | 3des }此命令用麳設置加密用的算法3des比des 强度更大
#authenication pre-share 此命令告訴router 使用預先共享的密匙 此密碼是人爲指定
#lifetime {參數} 此命令生命sa 的生存時間超過時間sa重新協商
R1<config>#crypto isakmp key {password} address {perr-address}
sa 是單向的因此要用此命令設置共享的密碼和對端的ip 如圖的R2的s1/0
注:***鏈路兩端的密碼必須相同
2.配置ipsec相關參數
1>指定crypto訪問控制列表
R1<config>#access-list {accress-list-number} { deny | permit } R1 到R2 的 ip 段
2>配置ipsec的傳輸模式
R1<config>#crypto ipsec transform-set {name} {AH驗證參數} {ESP加密參數} {ESP驗證參數}
注:每種參數只能選擇一種但是可以同時選擇3种
3.配置端口的應用
1>設置crypto map 相關參數
R1<config>#crypto map {mapname} {seq-num範圍<1-65535>} ipsec-isakmp
參數ipsec-isakmp表示ipsec將采用ike自動協商
參數seq-num表示map的優先級值越小優先級越高
#match address {accress-list-number} 指定crypto map使用的訪問控制列表
參數accress-list-number因該是前面配置crypto訪問控制列表編號相同
R1<config>#set address {ip-address} 參數ip-address 因該和前面配置ike中對端ip 相同
R1<config>#set transform-set {name}此命令指定crypto map 應用的傳輸模式
此模式因在配置ipsec時已定義name 即是crypto ipsec stransform-set 配置的name
4.應用到端口
R1<config>#interface s1/1
#crypto map {map-name} 參數map-name 是前面配置crypto map 的name
即crypto map {mapname} {seq-num範圍<1-65535>} ipsec-isakmp這條命令配置的name
5.ipsec *** 配置与檢查
show crypto isakmp policy show crypto ipsec sa show crypto isakmp sa show crypto map show crypto ipsec transform-set
R1与R2配置相同就不做闡述