4 Cấu hình sự mã hoá và IPSec
4.4Định nghĩa những tập hợp biến đổi và cấu hình chế độ IPSec tunnel
Bạn phải định nghĩa những tập hợp biến đổi bất chấp những giao thức xuyên đường hầm bạn sử dụng. Để định nghĩa một tập hợp biến đổi và cấu hình chế độ IPSec tunnel, hoàn thành những bước sau đây bắt đầu trong chế độ cấu hình toàn cục:
Bước 1 Hq-sanjose(config)# crypto ipsec transform-set proposal4 ah-sha- hmac esp-des
Định nghĩa một tập hợp biến đổi và đưa vào chế độ cấu hình sự biến đổi mật mã. Thí dụ này kết hợp AH1 biến đổi đổi ah-sha-hmac,sự mã hoá ESP2 biến đổi esp-des, và sự chứng thực ESP biến đổi esp-sha-hmac trong tập hợp chuyển đổi proposal4
Có những quy tắc phức tạp được định nghĩa những mục mà bạn sử dụng cho đối số biến đổi. Những quy tắc này giải thích trong phần mô tả lệnh cho crypto ipsec transform-set. Bạn có thể cũng sử dụng lệnh crypto ipsec transform-set?, trong chế độ cấu hình toàn cục, để xem sự thay đổi những trọng số.
Bước 2 Hq-sanjose(cfg-crypto-trans)# mode tunnel
Thay đổi chế độ được kết hợp với tập hợp biến đổi. Sự thiết đặt chế độ thì chỉ có thể áp dụng tới lưu lượng có nguồn và những địa chỉ đích là nhưng địa chỉ IPSec peer; nó bỏ qua tất cả những lưu lượng khác. Trong ví dụ chế độ cấu hình tunnel này cho transport set proposal4, được tạo ra một IPSec tunnel giữa những địa chỉ IPSec peer. Bước 3 Hq-sanjose(cfg-crypto-trans)# exit
Hq-sanjose(config)#
Trở về chế độ toàn cục
- AH= Đầu mục chứng thực. Đầu mục này, khi nào được thêm tới một gói dữ liệu
IP, đảm bảo cho sự toàn vẹn và xác thực của dữ liệu, bao gồm những trường bất biến trong đầu mục IP ở phía ngoài. Nó không cung cấp sự bảo vệ bí mật. AH sử dụng một chức năng keyed-hash hơn là những giải thuật số hóa.
- ESP = Đóng gói trọng tải tối đa an toàn. Đầu mục này, khi nào được thêm tới một gói dữ liệu IP, bảo vệ tính bí mật, sự toàn vẹn, và tính xác thực của dữ liệu.
Nếu ESP được sử dụng để cho có hiệu lực sự toàn vẹn dữ liệu, nó không bao hàm những trường bất biến trong phần đầu mục IP (IP header).