IPsec的配置步骤

路由器配置IPSec.VPN

/v_show/id_XMjA2MTg0MTQ0.html

设备上启用/禁用对IPSec的支持。默认是支持IPsec的

配置IP第一阶段交换：

数据包完整性：SHA or MD5

DH用Group1（加密级别768位），Group2（加密级别1024位）

若身份验证方法是Pre-share

标示对方的方法是ip 地址还是hostname.

若用hostname, 那下面需要配置IP和主机名的映射关系。

对端的地址到底是什么，密码到底是什么。

配置密码：

第一阶段，双方初始身份认证，建立最基本的安全通道，以便协商以后真正对数据加密。

例子：

第二组里面没定义的情况下使用默认值。Encryption: DES

Hash: MD5

DH: group 1

两端配置的策略必须要保持一致。

第二阶段：

指定变换集名称，变换集具体内容（可以指定3个具体条目）。

变换集配置模式：mode，传输还是隧道模式（有没有指定隧道接口来决定是不是用隧道模式）。

变换集：

AH：身份认证和完整性验证。

ESP：也能做完整性验证。Esp-null: 不加密

Example:

Crypto ipsec transform-set myset1 ah-sha-hmac esp-3des esp-md5-hmac

Crypto ipsec transform-set myset2 esp-3des

Crypto ipsec transform-set myset3 ah-sha-hmac

Crypto ipsec transform-set myset4 esp-md5-hmac

一个路由器上可以定义多个变换集。什么样的方式对传送的数据进行完整性校验和加密处理。

第二阶段生成的SA的生存时间。可以以时间或流量位单位。

用户不用对所有的包用IPSec加密，影响速度。

只对感兴趣的数据流进行加密。

Access-list-number: 101-199 防空值列表都是扩展列表。

前面设置过SA的生存期的话这边就不用设置。Pfs：向前密钥保护方式

例子：

显示变换集

实验：