4 Cấu hình sự mã hoá và IPSec
4.5.1Tạo ra những mục Crypto Map
Để tạo ra những mục Crypto map cái mà sử dụng IKE để thiết lập SAs, hoàn thành những bước sau đây bắt đầu trong chế độ cấu hình toàn cục.
Bước 1 Hq-sanjose(config)#crypto map s4second local-address serial 2/0
Tạo ra một Crypto map và xác định một địa chỉ local (giao diện vật lý) được sử dụng cho lưu lượng IPSec. Ví dụ này tạo ra một
crypto map s4second và chỉ rõ serial interface 2/0 của headquarter router như local address. Bước này thì chỉ yêu cầu nếu bạn trước đây đã sử dụng lệnh loopback hoặc nếu bạn đang sử dụng GRE tunnels
Bước 2 Hq-sanjose(config)# crypto map s4second 2
ipsec-isakmp
Đưa crypto map vào chế độ cấu hình, chỉ rõ một số trình tự cho crypto map bạn đã tạo ra trong bước 1, và cấu hình crypto map để sử dụng IKE để thiết lập SAs. Trong trình tự cấu hình này là 2 và IKE cho crypto map là
s4second.
Bước 3 Hq-sanjose(config-crypto-map)#
match address 111
Chỉ rõ một access list mở rộng. Access list này quyết định lưu lượng nào được bảo vệ và lưu lượng nào không được bảo vệ bở IPSec. Trong ví dụ cấu hình này access list 111, đã được tạo ra trong “tạo ra những danh sách truy nhập mật mã”
Bước 4 Hq-sanjose(config-crypto-map)#
set peer 172.23.2.7
Chỉ rõ một remote IPSec peer (bởi hostname hoặc IP address).Peer này được IPSec bảo vệ, lưu lượng có thể được truyền qua. Ví dụ này chỉ rõ serial interface 1/0 (172.23.2.7) trên business partner router.
Bước 5 Hq-sanjose(config-crypto- map)# set transform-set proposal4
Chỉ rõ những transform set nào được giành cho mục crypto map này . Liệt kê nhiều transform set trong sự sắp đặt quyền ưu tiên
(cao thì ưu tiên trước). Ví dụ này chỉ rõ transform set proposal4, mà đã được cấu hình trong phần “Định nghĩa Transform set và sự định chế độ IPSec tunnel”
Bước 6 Hq-sanjose(config-crypto-map)#
exit
Hq-sanjose(config)#
Trở lại chế độ toàn cục
Để tạo ra những mục crypto map động cái mà sẽ sử dụng IKE để thiết lâp SAs, hoàn thành những bước sau đây, bắt đầu trong chế độ toàn cục.
Lệnh Mục đích
Bước 1 Hq-sanjose(config)# crypto dynamic-map
dynamic-map-name dynamic- seq-num
Tạo ra một mục crypto map động
Bước 2 Hq-sanjose(config)# set transform-set
transform-set-name1
[transform-set-
name2...transform-set-name6]
Chỉ rõ những transform set nào được giành cho mục crypto map này . Liệt kê nhiều transform set trong sự sắp đặt quyền ưu tiên (cao thì ưu tiên trước) (adsbygoogle = window.adsbygoogle || []).push({});
Điều này thì chỉ cấu hình khai báo được yêu cầu trong những mục crypto map động.
Bước 3 Hq-sanjose(config-crypto-map)#
match address access-list-id
access-list-id
(tuy chọn) Số access list hoặc tên của một access list được mở rộng. Access list này quyết định lưu lượng có thể được bảo vệ hoặc không được bảo vệ bởi IPSec trong ngữ cảnh của mục crypto map này
Bước 4 Hq-sanjose(config-crypto-map)#
set peer
{hostname | ip-address}
Chỉ rõ một remote IPSec peer. Lặp lại cho nhiều remote peer. Điều này thực sự được cấu hình trong những mục crypto map động. Những mục crypto map động thì thường được sử dụng
set
security-association lifetime
seconds seconds
and/or
set security-association lifetime kilobytes
kilobytes
cho crypto map này sẽ được thương lượng sử dụng ít hơn khoảng thời gian tồn tại sự kết hợp an toàn IPSec hơn là thời gian tồn tại toàn bộ được chỉ rõ, chỉ rõ một chìa khoá cho sự tồn tại của mục crypto map.
Bước 6 Hq-sanjose(config-crypto-map)#
exit
Hq-sanjose(config)#
Trở lại chế độ cấu hình toàn cục