crypto isakmp policy 10 //启用并创建一个ISAKMP策略,并指定优先级为10
encryption 3des //指定对称加密算法,有3des、des、ase等
hash sha //指定信息摘要算法,校验算法有sha、md5等
authentication pre-share //pre-share为预共享密钥, 一般指定这个,当然还有rsa-sig、rsa-encr
group 2 //指定DH分组编号,1为768位,2为1024位
lifetime 5000 //指定SA生存期
end
conf t
isakmp key test- address 2.2.2.2 //ISAKMP中标识对方的ip,并指定test-为密码
----------------------------------------------------------以下是第二阶段,并应用到接口上-----------------------------------------------------------------------
crypto ipsec transform-set mytrans01 esp-3des esp-sha-hmac
//创建变换集mystrans01,可以多个。esp-3des为对称加密算法,esp-sha-hmac为ipsec体系中esp协议的sha校验
//交换集主要是是用来定义数据加密和完整性校验用的算法。
crypto ipsec transform-set mytrans01 esp-des esp-md5-hmac
// esp-des为对称加密算法,esp-md5-hmac为ipsec体系中esp协议的md5校验
-------
access-list ipsec-data permit ip 10.0.0.0 255.255.255.0 192.168.2.0 255.255.255.0
access-list ipsec-data permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
nat (dmz) 0 access-list ipsec-data
nat (inside) 0 access-list ipsec-data
//以上为定义感兴趣的数据流,并且不要在inside、DMZ接口上做nat转换.
crypto map mymap 10 ipsec-isakmp //创建加密图,名称为mymap,序列号为10 ,10和上面的policy 10没联系。
crypto map mymap 10 match address ipsec-data //匹配感兴趣的数据流,也是前面定义的ipsec-data
crypto map mymap 10 set peer 2.2.2.2 //指定对方的ip
crypto map mymap 10 set transform-set mytrans01 //指定的交换集为前面创建的mytrans01
crypto map mymap 10 set pfs group2 //向前密钥保护功能(可以不指定)
crypto map mymap interface outside //加密图应用到接口outside上
crypto isakmp enable outside //在outside上启用ISAKMP
end
//以上部分可以这样理解,加密图把各个的部分联系起来。ISAKMP为Internet密钥管理协议,
//它是为了对IPSec密钥的管理,并在接收双方在算法和密钥上达成共识。
Copyright © 2019-2025 51dongshi.net 版权所有
违法及侵权请联系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市万商天勤律师事务所王兴未律师提供法律服务
