0

Khi mà ISAKMP không được sử dụng đề thiết lập các Sa, một transform set

Một phần của tài liệu CẤU HÌNH IPSEC/VPN TRÊN THIẾT BỊ CISCO (Trang 40-40 )

riêng rẽ sẽ được sử dụng. Transform set đó sẽ không được trao đôi. - Thay đối cấu hình Transform set:

BI: Xóa các tranform set từ crypto map

B2: Xóa các transform set trong chế độ câu hình gobal mode B3: Câu hình lại transform set với những thay đối

B4: Gán transform set với crypto map

BS: Xóa cơ sở đữ liệu SA (SA database)

- Câu hình cho việc trao đôi transform:

Transform Set Negotiation

Internet

LrainialGirn = e{ 10 0 Er|L. )01/j0) 08051. 100.21, 2211 c1 o3 - #sp-des †unnel ` tunnel transfnrm - set 5ñ #sp-des, ah -sha -hmac tunnel

trarisform - set 3ñ TM Ga, transflorm - set §ũ

eãp-3đe5, e§p - sha- hmac < C19 K5... j1 )0)-0j))/)2 +

tunnel tunnel

-_ Transform sets are neqotiated duringq IKE Phase 2.

DƠIDCS Cncc Enwsarrn lịc SđR rijt£r ra rd HECE-XH v7 1—i-i

- Tranform set được trao đổi trong suốt chế độ quick mode trong IKE Phase 2 là

những các transform set mà bạn câu hình ưu tiên sử dụng. Bạn có thê câu hình nhiều

transform set và có thê chỉ ra một hay nhiêu transform set trong mục cryp(o map. Cấu hình transform set từ những bảo mật thông thường nhỏ nhất giống như trong chính sách bảo mật của bạn. Những transform set được định nghĩa trong mục crypto map được sử

dụng trong trao đôi IPSec SA để bảo vệ dữ liệu được định nghĩa bởi ACL của mục Crypto map.

- Trong suốt quá trình trao đôi mỗi bên sẽ tìm kiếm các transform set giống nhau ở

cả hai bên như minh họa ở hình trên. Các transform set của Router AÁ được so sánh với một transform set của Router B và cứ tiếp tục như thế. Router A transform set 10, 20,

30 được so sánh với transform set 40 của Router B. Nếu mà không trả về kết quả đúng

thì tất cả các transform set của Router A sau đó sẽ được so sánh với transform set tiếp

theo của Router B. Cuối cùng transform set 30 của Router A giống với transform set 60

việc bảo vệ đường truyền như là một phân của IPSec SA của cả hai phía. IPSec ở mỗi

bên sẽ châp nhận một transform duy nhât được chọn cho môi SA.

B. Cấu hình thời gian tồn tại của IPSec trong quá trình trao đổi:

Một phần của tài liệu CẤU HÌNH IPSEC/VPN TRÊN THIẾT BỊ CISCO (Trang 40 -40 )