IPSec配置命令2010-06-25 14:57:48| 分类：路由交换|字号订阅IPSec配置命令ipsec配置命令包括：1 clear crypto sa2 crypto ipsec transform-set3 crypto map4 crypto map {ipsec-manual|ipsec-isakmp}5 cryto ipsec security-association lifetime6 match address7 mode8 set peer9 set security-association lifetime10 set session-key ah11 set session-key esp12 set transform-set13 show crypto ipsec sa14 show crypto ipsec security-association lifetime15 show crypto ipsec transform-set16 show crypto map17 debug crypto ipsec1 clear crypto sa命令：clear crypto sa [map [map-name] [[map-number]] ] [peer [ip-address]]功能：删除安全联盟。

参数：map指定加密映射集；[map-name] [[map-number]]为加密映射集的名称或号码；peer 指定对端的ip地址；[ip-address]为对端的ip地址。

命令模式：特权用户配置模式。

使用指南：如果未使用map、peer关键字，所有的ipsec安全联盟都将被删除。

举例：删除由map-tunnel1创建的所有现存的安全联盟。

router#configrouter(config)#clear crypto sa map map-tunnel12 crypto ipsec transform-set命令：crypto ipsec transform-set [transform-set-name] [transform1] [[transform2] [[transform3]]]no crypto ipsec transform-set [transform-set-name]功能：定义变换集合，并进入到加密变换配置模式。

该命令的no操作为清除变换集合。

参数：[transform-set-name]为变换表的名字，不能包括空格；[transform]为变换，定义在ipsec安全联盟协商期间，两端协商使用哪种特定安全协议和算法来保护特定的数据流。

其中[transform]可从下表三组中进行选择，每组最多选择一个。

缺省情况：系统缺省没有任何变换表。

命令模式：全局配置模式。

使用指南：在使用ike方式协商安全联盟时，可以定义多个变换集合，然后在一个加密映射表中设置这些变换集合中的一个或多个，协商时两端会查找双方一致的变换集合。

而采用手工方式建立安全联盟时，两端之间不存在协商过程，所以双方必须指定相同的变换集合。

如果对变换集合的定义进行改变，那么改变将只被应用于设置了这个变换集合的加密映射表中。

改变将不被应用于现存的安全联盟，但它将被应用于随后建立新安全联盟的协商中。

如果想让这些新的设置马上生效，可以通过使用clear crypto sa命令将安全联盟数据库部分或全部清除。

举例：定义一个变换集合，名字为new，需要支持ah-md5、esp-3des、esp-sha 安全协议和算法的组合，其相应的变换表配置如下：router#configrouter(config)#crypto ipsec transform-set new ah-md5 esp-3des esp-shac3 crypto map命令：crypto map [map-name]no crypto map功能：在接口上应用加密映射表集合，no操作将删除接口应用的加密映射表集合。

参数：[map-name]为应用在接口上的加密映射表的名字，不能包括空格。

缺省情况：系统缺省没有在接口上应用加密映射表集合。

命令模式：接口配置模式使用指南：对于单个接口只能应用一个加密映射表集合。

如果想要将相同的策略应用到多个接口上，也可以让多个接口共享同一加密映射表集合。

如果为一个给定的接口创建多个加密映射表，那么就要使用加密映射表的seq-num参数将这些加密映射排序，seq-num值越小，优先级越高。

在配有这个加密映射表集合的接口上，首先用高优先级的映射对通信进行判断。

举例：在serial 2/0接口上应用名为map-tunnel1的加密映射表。

router#configrouter(config)#interface serial 2/0router(config-serial2/0)#crypto map map-tunnel14 crypto map {ipsec-manual|ipsec-isakmp}命令：crypto map [map-name] [seq-num] {ipsec-manual|ipsec-isakmp}no crypto map [map-name] [seq-num]功能：创建加密映射表，执行此命令将进入加密映射表配置模式；此命令的no操作为删除此加密映射表。

参数：[map-name]为加密映射表名，不能包括空格；[seq-num]为相同名称的加密映射表的顺序号，seq-num值越小，优先级越高，其取值范围为0 ~ 65535之间的整数；ipsec-manual表示手工方式创建加密映射表；ipsec-isakmp表示ike方式创建加密映射表。

缺省情况：系统缺省没有任何加密映射表。

命令模式：全局配置模式。

使用指南：具有相同名字（但映射序列号不同）的加密映射表组成一个加密映射表集合，其中序号越小其优先级越高，然后将加密映射表集合应用到接口上。

为了使ipsec两端之间的ipsec通信能够顺利进行，两端的加密映射表必须包含相兼容的配置语句。

当两端尝试建立安全联盟时，双方都必须至少有一条加密映射表和对端的一条加密映射表相兼容。

两条加密映射表相兼容必须至少满足以下条件：1) 加密映射表必须包含兼容的加密访问列表；2) 双方的加密映射表都必须确定对端地址；3) 加密映射表必须至少有一个相同的变换集合。

举例：例1：手工建立安全联盟的加密映射表map- tunnel1，优先级为10。

router#configrouter(config)#crypto map map-tunnel1 10 ipsec-manual例2：ike方式建立安全联盟的加密映射表map- tunnel2，优先级为10。

router#configrouter(config)#crypto map map-tunnel2 10 ipsec-isakmp5 crypto ipsec security-association lifetime命令：cryto ipsec security-association lifetime {seconds [seconds] | kilobytes [kilobytes]}no cryto ipsec security-association lifetime {seconds | kilobytes}功能：配置所有ike安全联盟的生存时间，此命令的no操作恢复缺省值。

参数：seconds指定ike安全联盟“计时”的生存周期；[seconds]为ike安全联盟的生存周期，单位为秒，取值范围为120~ 86400；kilobytes指定ike安全联盟“计流”的生存周期；[kilobytes]为ike安全联盟的生存周期，单位为千字节，取值范围为2560 ~ 536870912。

缺省情况：系统缺省的安全联盟的生存周期为3600s（1小时），即流量为4608000kilobytes(10mbytes/s，正好1小时)命令模式：全局配置模式。

使用指南：安全联盟生存周期有两种类型：一种为“计时间”的生存周期，另一种为“计流量”的生存周期。

无论哪一种类型的生存周期先到期，安全联盟都会失效。

在安全联盟即将失效前，ike将为ipsec协商建立新的安全联盟。

安全联盟的生存周期只对由ike建立的安全联盟有效，手工建立的安全联盟永久有效。

举例：建立ike安全联盟的生存周期为300s。

router#configrouter(config)# cryto ipsec security-association lifetime seconds 3006 match address命令：match address [access-list-number]no match address [access-list-number]功能：配置加密映射表引用的加密访问控制列表；此命令的no操作是取消加密映射表引用的加密访问控制列表的配置。

参数：[access-list-number]为加密访问控制列表的号，取值范围为100~199之间的整数。

缺省情况：系统缺省没有配置此加密映射表引用的加密访问控制列表。

命令模式：加密映射表配置模式。

使用指南：这个加密访问控制列表决定哪些报文受到ipsec的保护，哪些报文不受到此加密映射表中定义的ipsec安全保护。

举例：将10.1.1.0网段的到20.1.1.0网段访问的ip数据包进行ipsec安全保护。

其对加密映射表的配置如下：router#configrouter(config)#access-list 101 permit tcp 10.1.1.0 0.0.0.255 20.1.1.0 0.0.0.255router(config)#crypto map map-tunnel1 10 ipsec-manualrouter(config-crypto-m)#match address 1017 mode命令：mode {transport|tunnel}no mode功能：改变变换集合的工作模式；该命令的no操作为恢复缺省值。

参数：transport表示ipsec的工作方式为传送模式；tunnel表示ipsec的工作方式为通道模式。

缺省情况：系统缺省的ipsec的工作方式为隧道模式。

命令模式：加密变换配置模式。

使用指南：传送模式设置只对那些源和目标地址都是ipsec两端地址的通信有用，而对于所有其他通信无效。

其他通信只能在隧道模式下进行。

举例：定义一个变换集合，名字为new，需要支持ah-md5、esp-3des、esp-sha 安全协议和算法的组合，同时将其工作模式设置为tunnel方式，其相应配置如下：router#configrouter(config)#crypto ipsec transform-set new ah-md5 esp-3des esp-sharouter(cfg-crypto-tran)#mode tunnel8 set peer命令：set peer [ip-address]no set peer [ip-address]功能：设置ipsec对端地址；此命令的no操作取消ipsec对端地址的设置。