IPSec配置命令
ipsec proposal ipsec /创建一个IPSec安全提议
transform esp /安全协议为ESP协议(缺省值)
esp authentication-algorithm sha2-256 /配置ESP协议的认证算法
esp encryttion-algorithm aes-256 /配置ESP协议的加密算法
encapsulation-mode tunnel /配置对数据的封闭模式为隧道模式(缺省值)
ike proposal 10 /创建一个IKE安全提议,编号9
authentication-method pre-share /配置IKE安全提议的认证方法 :预共享密钥
authentication-algorithm sha2-256 /配置IKE安全提议的认证算法
encryption-algorithm aes-256 /配置IKE安全提议的加密算法
dh group2 /配置IKE密钥协商采用1024位的Diffie-Hellman
sa duration 5657 /配置IKE SA的生存周期:5657
ike peer ipsec /创建IKE对等体
undo version 2 /缺省开启v1和v2版本,默认使用v1,删除v2支持
ike-proposal 10 /引用IKE安全提议
pre-shared-key cipher ipsec /配置预共享密钥的密码
lifetime-notification-message enable /使能发送IKE SA 生存周期时间的通知消息
local-id-type fqdn /配置IKE协商时本端的ID类型为名称形式
local-id l2tp /配置IKE协商时本端ID值为:playplus
remote-id-type fqdn /配置IKE协商时对端的ID类型为名称形式
remote-id l2tp /配置IKE协商是对端ID值为:playplus
exchange-mode aggressive /为IKEv1阶段1协商模式为野蛮模式
ipsec policy-template ipsectemplate 100 /配置策略模板名为ipscetemplate,编号为100
route inject dynamic /路由动态注入,
proposal ipsec /引用IPSec安全提议:ipsec
ike-peer ipsec /引用IKE对等体:ipsec
pfs dh-group2 /协商时启用PFS特性,提高通信的安全性
ipsec policy ipsecsecurtiy 10 isakmp template ipsectemplate /创建安全策略编号为10,并引用策略模板。安全策略名:ipsecsecurtiy
interface dialer 1 /进入动态域名解析的dialer口
ipsec policy playsecurtiy /引用ipsec安全策略
ipsec authentication sha2 compatible enable /开启SHA-2算法兼容功能解决,IPSec隧道两端设备的厂商不同或两端产品的版本不同,由于不同厂商或者不同产品之间加密解密的方式可能不同,会导致IPSec流量不通