IPSec配置命令

 

 

ipsec proposal ipsec                     /创建一个IPSec安全提议

 transform esp                              /安全协议为ESP协议(缺省值)

 esp authentication-algorithm sha2-256      /配置ESP协议的认证算法                              

 esp encryttion-algorithm aes-256           /配置ESP协议的加密算法                              

 encapsulation-mode tunnel        /配置对数据的封闭模式为隧道模式(缺省值)

 

 

ike proposal 10                         /创建一个IKE安全提议,编号9

 authentication-method pre-share       /配置IKE安全提议的认证方法 :预共享密钥   

 authentication-algorithm sha2-256     /配置IKE安全提议的认证算法                                      

 encryption-algorithm aes-256          /配置IKE安全提议的加密算法                                     

 dh group2                      /配置IKE密钥协商采用1024位的Diffie-Hellman

 sa duration 5657                     /配置IKE SA的生存周期:5657

 

 

ike peer ipsec                      /创建IKE对等体

 undo version 2               /缺省开启v1和v2版本,默认使用v1,删除v2支持 

 ike-proposal 10                        /引用IKE安全提议

 pre-shared-key cipher ipsec           /配置预共享密钥的密码

 lifetime-notification-message enable   /使能发送IKE SA 生存周期时间的通知消息       

 local-id-type fqdn                    /配置IKE协商时本端的ID类型为名称形式

 local-id l2tp                     /配置IKE协商时本端ID值为:playplus

 remote-id-type fqdn                   /配置IKE协商时对端的ID类型为名称形式

 remote-id l2tp                    /配置IKE协商是对端ID值为:playplus

 exchange-mode aggressive              /为IKEv1阶段1协商模式为野蛮模式

 

 

ipsec policy-template ipsectemplate 100    /配置策略模板名为ipscetemplate,编号为100

 route inject dynamic                     /路由动态注入,

 proposal ipsec                        /引用IPSec安全提议:ipsec

 ike-peer ipsec                        /引用IKE对等体:ipsec

 pfs dh-group2                       /协商时启用PFS特性,提高通信的安全性

 

 

ipsec policy ipsecsecurtiy 10 isakmp template ipsectemplate    /创建安全策略编号为10,并引用策略模板。安全策略名:ipsecsecurtiy

 

 

interface dialer 1                      /进入动态域名解析的dialer口 

 ipsec policy playsecurtiy                 /引用ipsec安全策略

 

 

ipsec authentication sha2 compatible enable  /开启SHA-2算法兼容功能解决,IPSec隧道两端设备的厂商不同或两端产品的版本不同,由于不同厂商或者不同产品之间加密解密的方式可能不同,会导致IPSec流量不通

posted @ 2020-07-01 12:41  武装小灰灰  阅读(1451)  评论(0编辑  收藏  举报