返回
Cisco VPN 完全配置指南-连载-IOS VPN阶段1连接详解.pdf

Cisco VPN 完全配置指南-连载-IOS VPN阶段1连接详解.pdf

ID:54018549

大小:336.02 KB

页数:27页

时间:2020-04-28

Cisco VPN 完全配置指南-连载-IOS VPN阶段1连接详解.pdf_第1页
Cisco VPN 完全配置指南-连载-IOS VPN阶段1连接详解.pdf_第2页
Cisco VPN 完全配置指南-连载-IOS VPN阶段1连接详解.pdf_第3页
Cisco VPN 完全配置指南-连载-IOS VPN阶段1连接详解.pdf_第4页
Cisco VPN 完全配置指南-连载-IOS VPN阶段1连接详解.pdf_第5页
资源描述:

《Cisco VPN 完全配置指南-连载-IOS VPN阶段1连接详解.pdf》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、CiscoVPN完全配置指南详解路由器的ISAKMP/IKE阶段1连接一、ISAKMP/IKE阶段1策略1、启动ISAKMPRouter(config)#[no]cryptoisakmpenable2、建立策略Router(config)#cryptoisakmppolicypriorityRouter(config-isakmp)#encryption{des

2、3des

3、aes}Router(config-isakmp)#hash{sha

4、md5}Router(config-isakmp)#authent

5、ication{rsa-sig

6、rsa-encr

7、pre-share}Router(config-isakmp)#group{1

8、2

9、5}Router(config-isakmp)#lifetimesecondsRouter(config-isakmp)#exitCryptoisakmppolicy是建立一个唯一的ISAKMP/IKE管理连接策略,策略需要一个不同的号码,号码的范围为1~10000,进入子模式后,encryption指定了使用哪种加密算法,hash命令指定了使用HMAC的功能,authent

10、ication命令指定了用于设备的验证方法,group指定了使用的DH密钥组,lifetime命令指定管理连接的生存周期,如果在策略中没有指定特殊的参数,就外使用默认的值,如下Encryptionalgorithm:DESHMACfunction:SHA-1Authenticationmethod:RSAsignatures(certificates)DHgroup:1Lifetime:86,400seconds个默认的没有号码的具有上术配置值的制作:张选波ISAKMP/IKE策略存在于路由器上所

11、以如果这些值满足要求,则不需要在路由器配置一个ISAKMP/IKE的策略。预配置的路由器策略总是处于最低优先级。也可以ISAKMP/IKE策略内使用default命令将一个参数设置成为这个指定的策略内的默认值。Router(config)#cryptoisakmppolicypriorityRouter(config-isakmp)#default{encryption

12、hash

13、authentication

14、group

15、lifetime}Router(config-isakmp)#exit可以使用命令sh

16、owcryptoisakmppolicy查看ISAKMP/IKE策略。Router#showcryptoisakmppolicyGlobalIKEpolicyProtectionsuiteofpriority10encryptionalgorithm:AES-AdvancedEncryptionStandard(128bitkeys).hashalgorithm:MessageDigest5authenticationmethod:Pre-SharedKeyDiffie-Hellmangroup:#2(10

17、24bit)lifetime:86400seconds,novolumelimitDefaultprotectionsuiteencryptionalgorithm:DES-DataEncryptionStandard(56bitkeys).hashalgorithm:SecureHashStandardauthenticationmethod:Rivest-Shamir-AdlemanSignatureDiffie-Hellmangroup:#1(768bit)lifetime:86400seconds,

18、novolumelimit3、与对等体协商策略两台对等设备想建立一个管理连接,至少每一台设备上要有一个互相匹配的ISAKMP/IKE的策略,发起连接的对等体设备把整个管理连接策略的列表发送给远端的对等设备,远端的对等设备接着将发送者的最高优先级策略(最低号码)和本地策略进行比较。一旦匹配了,DH被执行,如果找不到匹配的,则协商失败。4、启动IKE死亡对等体检测死亡对等体检测(DPD)允许ciscoIPSec的对等体通过管理连接使用keepalive的机制,发现一个死亡的对等体,DPD工作有两种模式:周期性

19、的——发送周期性的keepalive来确保对等体设备是存活的按需——只有本地对等设备没有流量发送,也没有收到远端对等设备的流量时,才被触发。配置DPD使用下面命令Router(config)#cryptoisakmpkeepaliveseconds[retries][periodic

20、on-demand]如果没有指定DPD模式,默认模式为按需模式,二、ISAKMP/IKE阶段1设备验证1、身份类型制作:张选波C

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。