欢迎来到天天文库
浏览记录
ID:9507621
大小:71.00 KB
页数:8页
时间:2018-05-01
《vpn实例配置方案-中文详细注解二》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、VPN实例配置方案-中文详细注解二~教育资源库 3、(rsa-sig)使用证书授权(CA) (1)确保路由器有主机名和域名 (global)hostnamehostname (global)ipdomain-namedomain (2)产生RSA密钥 (global)cryptokeygeneratersa (3)使用向IPSec对等端发布证书的CA --设定CA的主机名 (global)cryptocaidentityname --设定联络CA所使用的URL (ca-identity)enrollmenturlurl URL应该采用ca-dom
2、ain-nameort/cgi-bin-location的形式 --(可选)使用RA模式 (ca-identity)enrollmentmodera (ca-identity)queryurlurl --(可选)设定注册重试参数 (ca-identity)enrollmentretryperiodminutes (ca-identity)enrollmentretrycountnumber minutes(1到60;默认为1)number(1到100;默认为0,代表无穷次) --(可选)可选的证书作废列表 (ca-identity)crloptiona
3、l (4)(可选)使用可信的根CA --确定可信的根CA (global)cryptocatrusted-rootname --(可选)从可信的根请求CRL (ca-root)crlqueryurl --定义注册的方法 (ca-root)root{CEPurl
4、TFTPserverfile
5、PROXYurl} (5)认证CA (global)cryptocaauthenticatename (6)用CA注册路由器 (global)cryptocaenrollname 4、(rsa-encr)手工配置RSA密钥(不使用CA) (1)产生RSA密钥
6、 (global)cryptokeygeneratersa (2)指定对等端的ISAKMP标识 (global)cryptoisakmpidentity{address
7、hostname} (3)指定其他所有对等端的RSA密钥 --配置公共密钥链 (global)cryptokeypubkey-chainrsa --用名字或地址确定密钥 (pubkey-chain)named-keykey-name[encryption
8、signature] (pubkey-chain)addressed-keykey-name[encryption
9、signatur
10、e] --(可选)手工配置远程对等端的IP地址 (pubkey-key)addressip-addr --指定远程对等端的公开密钥 (pubkey-key)key-stringkey-string 5、(preshare)配置预共享密钥 (global)cryptoisakmpkeykey-string{addrss
11、hostname}{peer-address
12、peer-hostname} 扩展的访问列表必须定义由IPSec保护哪种IP流量。保密图(cryptomap)援引这个访问列表来确定在接口上要保护的流量。 4、定义IPSec交换集 (1)创建
13、变换集 (global)cryptoipsectransform-setname[transform1
14、transform2
15、transform3] 可以在一个保密图(cryptomap)中定义多个变换集。如果没有使用IKE,那么只能定义一种变换集。用户能够选择多达三种变换。 (可选)选择一种AH变换 --ah-md5-hmac --ah-sha-hmac --ah-rfc-1828 (可选)选择一种ESP加密编号 --esp-des --esp-3des --esp-rfc-1829 --esp-null 以及这些验证方法之一 --esp-m
16、d5-hmac --esp-sha-hmac (可选)选择IP压缩变换 --p-lzs (2)(可选)选择变换集的模式 (crypto-transform)mode{tunnel
17、transport} 5、使用IPSec策略定义保密映射 保密图(cryptomap)连接了保密访问列表,确定了远程对等端、本地地址、变换集和协商方法。 (1)(可选)使用手工的安全关联(没有IKE协商) --创建保密图 (global)cryptomapmap-namesequenceipsec-manual --援引保密访问列表来确定受
此文档下载收益归作者所有