在PIX防火墻用預共享密鑰配置IPSec加密主要涉及到4個關鍵任務:
一���、為IPSec做準備
為IPSec做準備涉及到確定詳細的加密策略�����,包括確定我們要保護的主機和網(wǎng)絡�,選擇一種認證方法����,確定有關IPSec對等體的詳細信息����,確定我們所需的IPSec特性,并確認現(xiàn)有的訪問控制列表允許IPSec數(shù)據(jù)流通過����;
步驟1:根據(jù)對等體的數(shù)量和位置在IPSec對等體間確定一個IKE(IKE階段1,或者主模式)策略�����;
步驟2:確定IPSec(IKE階段2�����,或快捷模式)策略,包括IPSec對等體的細節(jié)信息�����,例如IP地址及IPSec變換集和模式���;
步驟3:用”write terminal”�����、”show isakmp”�、”show isakmp policy”���、”show crypto map “命令及其他”show”命令來檢查當前的配置���;
步驟4:確認在沒有使用加密前網(wǎng)絡能夠正常工作,用”ping”命令并在加密前運行測試數(shù)據(jù)流來排除基本的路由故障�����;
步驟5:確認在邊界路由器和PIX防火墻中已有的訪問控制列表允許IPSec數(shù)據(jù)流通過,或者想要的數(shù)據(jù)流將可以被過濾出來����。
二、配置IKE
配置IKE涉及到啟用IKE(和isakmp是同義詞)�����,創(chuàng)建IKE策略���,和驗證我們的配置�����;
步驟1:用”isakmp enable”命令來啟用或關閉IKE�;
步驟2:用”isakmp policy”命令創(chuàng)建IKE策略��;
步驟3:用”isakmp key”命令和相關命令來配置預共享密鑰���;
步驟4:用”show isakmp [policy]”命令來驗證IKE的配置。
三�����、配置IPSec
IPSec配置包括創(chuàng)建加密用訪問控制列表,定義變換集�����,創(chuàng)建加密圖條目�,并將加密集應用到接口上去;
步驟1:用access-list命令來配置加密用訪問控制列表�;
例如:
access-list acl-name {permit deny} protocol src_addr src_mask
[operator port [port]] dest_addr dest_mask [operator prot [port]] |
步驟2:用crypto ipsec transform-set 命令配置變換集;
例如:
crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]] |
步驟3:(任選)用crypto ipsec security-association lifetime命令來配置全局性的IPSec 安全關聯(lián)的生存期����;
步驟4:用crypto map 命令來配置加密圖;
步驟5:用interface 命令和crypto map map-name interface應用到接口上�;
步驟6:用各種可用的show命令來驗證IPSec的配置。
四���、測試和驗證IPSec
該任務涉及到使用"show " �����、"debug"和相關的命令來測試和驗證IPSec加密工作是否正常�����,并為之排除故障�。
