4 Cấu hình sự mã hoá và IPSec
4.5.1 Tạo ra những mục Crypto Map
Để tạo ra những mục Crypto map cái mà sử dụng IKE để thiết lập SAs,
hoàn thành những bước sau đây bắt đầu trong chế độ cấu hình toàn cục.
s4second local-address serial 2/0
định một địa chỉ local (giao diện
vật lý) được sử dụng cho lưu lượng IPSec. Ví dụ này tạo ra một
crypto map s4second và chỉ rõ serial interface 2/0 của headquarter router như local address. Bước này thì chỉ yêu cầu
nếu bạn trước đây đã sử dụng
lệnh loopback hoặc nếu bạn đang
sử dụng GRE tunnels
Bước 2 Hq-sanjose(config)# crypto map s4second 2
ipsec-isakmp
Đưa crypto map vào chế độ cấu
hình, chỉ rõ một số trình tự cho
crypto map bạn đã tạo ra trong bước 1, và cấu hình crypto map
để sử dụng IKE để thiết lập SAs.
Trong trình tự cấu hình này là 2 và IKE cho crypto map là
s4second.
Bước 3 Hq-sanjose(config-crypto-map)#
match address 111
Chỉ rõ một access list mở rộng.
Access list này quyết định lưu lượng nào được bảo vệ và lưu lượng nào không được bảo vệ bở
IPSec. Trong ví dụ cấu hình này
access list 111, đã được tạo ra
trong “tạo ra những danh sách
truy nhập mật mã”
Bước 4 Hq-sanjose(config-crypto-map)#
set peer 172.23.2.7
Chỉ rõ một remote IPSec peer
(bởi hostname hoặc IP address).Peer này được IPSec bảo
vệ, lưu lượng có thể được truyền
qua. Ví dụ này chỉ rõ serial interface 1/0 (172.23.2.7) trên business partner router.
Bước 5 Hq-sanjose(config-crypto- map)# set transform-set proposal4
Chỉ rõ những transform set nào
được giành cho mục crypto map
này . Liệt kê nhiều transform set
(cao thì ưu tiên trước). Ví dụ này chỉ rõ transform set proposal4,
mà đã được cấu hình trong phần “Định nghĩa Transform set và sự định chế độ IPSec tunnel”
Bước 6 Hq-sanjose(config-crypto-map)#
exit
Hq-sanjose(config)#
Trở lại chế độ toàn cục
Để tạo ra những mục crypto map động cái mà sẽ sử dụng IKE để thiết lâp
SAs, hoàn thành những bước sau đây, bắt đầu trong chế độ toàn cục.
Lệnh Mục đích Bước 1 Hq-sanjose(config)# crypto
dynamic-map
dynamic-map-name dynamic- seq-num
Tạo ra một mục crypto map động
Bước 2 Hq-sanjose(config)# set transform-set
transform-set-name1
[transform-set-
name2...transform-set-name6]
Chỉ rõ những transform set nào
được giành cho mục crypto map
này . Liệt kê nhiều transform set
trong sự sắp đặt quyền ưu tiên
(cao thì ưu tiên trước)
Điều này thì chỉ cấu hình khai
báo được yêu cầu trong những
mục crypto map động. Bước 3 Hq-sanjose(config-crypto-map)#
match address access-list-id
access-list-id
(tuy chọn) Số access list hoặc tên của một access list được mở rộng.
Access list này quyết định lưu lượng có thể được bảo vệ hoặc không được bảo vệ bởi IPSec
trong ngữ cảnh của mục crypto
map này
Bước 4 Hq-sanjose(config-crypto-map)#
set peer
{hostname | ip-address}
Chỉ rõ một remote IPSec peer.
Lặp lại cho nhiều remote peer. Điều này thực sự được cấu hình trong những mục crypto map
động. Những mục crypto map động thì thường được sử dụng
security-association lifetime
seconds seconds
and/or
set security-association lifetime kilobytes
kilobytes
thương lượng sử dụng ít hơn
khoảng thời gian tồn tại sự kết
hợp an toàn IPSec hơn là thời
gian tồn tại toàn bộ được chỉ rõ, chỉ rõ một chìa khoá cho sự tồn
tại của mục crypto map. Bước 6 Hq-sanjose(config-crypto-map)#
exit
Hq-sanjose(config)#
Trở lại chế độ cấu hình toàn cục