Tạo ra những mục Crypto Map

Một phần của tài liệu nghiên cứu và các giải pháp công nghệ cho vấn đề xây dựng mạng riêng ảo (vpn) (Trang 85)

4 Cấu hình sự mã hoá và IPSec

4.5.1 Tạo ra những mục Crypto Map

Để tạo ra những mục Crypto map cái mà sử dụng IKE để thiết lập SAs, hoàn thành những bước sau đây bắt đầu trong chế độ cấu hình toàn cục.

Bước 1 Hq-sanjose(config)#crypto map s4second local-address serial 2/0

Tạo ra một Crypto map và xác định một địa chỉ local (giao diện vật lý) được sử dụng cho lưu lượng IPSec. Ví dụ này tạo ra một

crypto map s4second và chỉ rõ serial interface 2/0 của headquarter router như local address. Bước này thì chỉ yêu cầu nếu bạn trước đây đã sử dụng lệnh loopback hoặc nếu bạn đang sử dụng GRE tunnels

Bước 2 Hq-sanjose(config)# crypto map s4second 2

ipsec-isakmp

Đưa crypto map vào chế độ cấu hình, chỉ rõ một số trình tự cho crypto map bạn đã tạo ra trong bước 1, và cấu hình crypto map để sử dụng IKE để thiết lập SAs. Trong trình tự cấu hình này là 2 và IKE cho crypto map là

s4second.

Bước 3 Hq-sanjose(config-crypto-map)#

match address 111

Chỉ rõ một access list mở rộng. Access list này quyết định lưu lượng nào được bảo vệ và lưu lượng nào không được bảo vệ bở IPSec. Trong ví dụ cấu hình này access list 111, đã được tạo ra trong “tạo ra những danh sách truy nhập mật mã”

Bước 4 Hq-sanjose(config-crypto-map)#

set peer 172.23.2.7

Chỉ rõ một remote IPSec peer (bởi hostname hoặc IP address).Peer này được IPSec bảo vệ, lưu lượng có thể được truyền qua. Ví dụ này chỉ rõ serial interface 1/0 (172.23.2.7) trên business partner router.

Bước 5 Hq-sanjose(config-crypto- map)# set transform-set proposal4

Chỉ rõ những transform set nào được giành cho mục crypto map này . Liệt kê nhiều transform set trong sự sắp đặt quyền ưu tiên

(cao thì ưu tiên trước). Ví dụ này chỉ rõ transform set proposal4, mà đã được cấu hình trong phần “Định nghĩa Transform set và sự định chế độ IPSec tunnel”

Bước 6 Hq-sanjose(config-crypto-map)#

exit

Hq-sanjose(config)#

Trở lại chế độ toàn cục

Để tạo ra những mục crypto map động cái mà sẽ sử dụng IKE để thiết lâp SAs, hoàn thành những bước sau đây, bắt đầu trong chế độ toàn cục.

Lệnh Mục đích

Bước 1 Hq-sanjose(config)# crypto dynamic-map

dynamic-map-name dynamic- seq-num

Tạo ra một mục crypto map động

Bước 2 Hq-sanjose(config)# set transform-set

transform-set-name1

[transform-set-

name2...transform-set-name6]

Chỉ rõ những transform set nào được giành cho mục crypto map này . Liệt kê nhiều transform set trong sự sắp đặt quyền ưu tiên (cao thì ưu tiên trước)

Điều này thì chỉ cấu hình khai báo được yêu cầu trong những mục crypto map động.

Bước 3 Hq-sanjose(config-crypto-map)#

match address access-list-id

access-list-id

(tuy chọn) Số access list hoặc tên của một access list được mở rộng. Access list này quyết định lưu lượng có thể được bảo vệ hoặc không được bảo vệ bởi IPSec trong ngữ cảnh của mục crypto map này

Bước 4 Hq-sanjose(config-crypto-map)#

set peer

{hostname | ip-address}

Chỉ rõ một remote IPSec peer. Lặp lại cho nhiều remote peer. Điều này thực sự được cấu hình trong những mục crypto map động. Những mục crypto map động thì thường được sử dụng

set

security-association lifetime

seconds seconds

and/or

set security-association lifetime kilobytes

kilobytes

cho crypto map này sẽ được thương lượng sử dụng ít hơn khoảng thời gian tồn tại sự kết hợp an toàn IPSec hơn là thời gian tồn tại toàn bộ được chỉ rõ, chỉ rõ một chìa khoá cho sự tồn tại của mục crypto map.

Bước 6 Hq-sanjose(config-crypto-map)#

exit

Hq-sanjose(config)#

Trở lại chế độ cấu hình toàn cục

Một phần của tài liệu nghiên cứu và các giải pháp công nghệ cho vấn đề xây dựng mạng riêng ảo (vpn) (Trang 85)

Tải bản đầy đủ (PDF)

(118 trang)