4 Cấu hình sự mã hoá và IPSec
4.4 Định nghĩa những tập hợp biến đổi và cấu hình chế độ IPSec tunnel
Bạn phải định nghĩa những tập hợp biến đổi bất chấp những giao thức xuyên đường hầm bạn sử dụng. Để định nghĩa một tập hợp biến đổi và cấu hình chế độ IPSec tunnel, hoàn thành những bước sau đây bắt đầu
trong chế độ cấu hình toàn cục:
transform-set proposal4 ah-sha- hmac esp-des
đổi và đưa vào chế độ cấu
hình sự biến đổi mật mã. Thí dụ này kết hợp AH1 biến đổi đổi ah-sha-hmac,sự mã hoá ESP2 biến đổi esp-des, và sự
chứng thực ESP biến đổi
esp-sha-hmac trong tập hợp
chuyển đổi proposal4
Có những quy tắc phức tạp được định nghĩa những mục
mà bạn sử dụng cho đối số
biến đổi. Những quy tắc này giải thích trong phần mô tả
lệnh cho crypto ipsec transform-set. Bạn có thể
cũng sử dụng lệnh crypto ipsec transform-set?, trong chế độ cấu hình toàn cục, để
xem sự thay đổi những trọng
số. Bước 2 Hq-sanjose(cfg-crypto-trans)# mode
tunnel
Thay đổi chế độ được kết
hợp với tập hợp biến đổi. Sự
thiết đặt chế độ thì chỉ có thể
áp dụng tới lưu lượng có
nguồn và những địa chỉ đích là nhưng địa chỉ IPSec peer;
nó bỏ qua tất cả những lưu lượng khác. Trong ví dụ chế độ cấu hình tunnel này cho
transport set proposal4, được
tạo ra một IPSec tunnel giữa
những địa chỉ IPSec peer. Bước 3 Hq-sanjose(cfg-crypto-trans)# exit
Hq-sanjose(config)#
Trở về chế độ toàn cục
- AH= Đầu mục chứng thực. Đầu mục này, khi nào được thêm tới một gói dữ
liệu
IP, đảm bảo cho sự toàn vẹn và xác thực của dữ liệu, bao gồm những trường bất
biến trong đầu mục IP ở phía ngoài. Nó không cung cấp sự bảo vệ bí mật. AH sử
dụng một chức năng keyed-hash hơn là những giải thuật số hóa.
- ESP = Đóng gói trọng tải tối đa an toàn. Đầu mục này, khi nào được thêm tới
Nếu ESP được sử dụng để cho có hiệu lực sự toàn vẹn dữ liệu, nó không bao
hàm những trường bất biến trong phần đầu mục IP (IP header).