我们能够理解IPSec(IP Security)是用于增强IP网络的安全性,因此请务必重视它。同时历年的考点也说明了这一点。

工作流程

为IPSec做准备

确定策略,选择方法。

配置IKE

  1. 用isakmp enable命令启动或关闭IKE。
  2. 用isakmp policy命令创建IKE策略。
  3. 用isakmp key命令和相关配置预共享密钥。
  4. 用show isakmp [policy]命令验证IKE的配置

配置IPSec

  1. 用access-list命令配置加密用访问控制列表。
  2. 用crypto ipsec transform-set命令配置交换集。
  3. (任选)用crypto ipsec security-association lifetime明亮配置全局性的IPSec安全关联的生存期。
  4. 用crypto map命令配置加密图。
  5. 用interface命令和crypto map-name interface把配置应用到接口上。
  6. 用各种可用的show命令验证IPSec的配置。

测试和验证IPSec

使用show、debug和相关的命令测试和验证IPSec加密是否正常。

代码实例

总部端路由器部分配置:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
crypto isakmp policy 1
authentication pre-share
group 2
crypto isakmp key test123 address 202.96.1.2
crypto ipsec transform-set VPNtag ah-md5-hmac esp-des
crypto map VPNdemo 10 ipsec-isakmp
set peer 202.96.1.2
set transform-set VPNtag
match address 101
interface Tunnel0
ip address 68.1.1 255.255.255.0
no ip directed-broadcast
tunnel source 202.96.1.2
crypto map VPNdemo
ip route 0.0.0.0 0.0.0.0 202.96.1.2
ip route 172.22.2.0 255.255.0.0 192.168.1.2
access-list 101 permit gre host 202.96.1.1 host 202.96.1.2

关注三对应:

  1. 转换集名称5-8(VPNtag)
  2. 加密图名称6-15(VPNdemo)
  3. ACL编号9-18(101)

以上就是对IPSec的小小见解。