IKE配置

-----------IKE配置----------------IPSecVPN对等端为了建立信任关系，必须交换某种形式的认证密钥。Internet密钥交换(InternetKeyExchange，IKE)是一种为IPSec管理和交换密钥的标准方法。一旦两个对等端之间的IKE协商取得成功，那么IKE就创建到远程对等端的安全关联(securityassociation，SA)。SA是单向的；在两个对等端之间存在两个SA。IKE使用UDP端口500进行协商，确保端口500不被阻塞。配置的完整过程：(注：命令行前的文字用于标明当前的配置模式)红色字体为必须进行的配置1、（可选）启用或者禁用IKE(global)cryptoisakmpenable或者(global)nocryptoisakmpenable默认在所有接口上启动IKE2、创建IKE策略(1)定义策略(global)cryptoisakmppolicypriority注释：policy1表示策略1，假如想多配几个VPN，可以写成policy2、policy3┅(2)（可选）定义加密算法(isakmp)encryption{des|3des}加密模式可以为56位的DES-CBC(des，默认值)或者168位的3DES(3des)(3)（可选）定义散列算法(isamkp)hash{sha|md5}默认sha(4)（可选）定义认证方式(isamkp)authentication{rsa-sig|rsa-encr|pre-share}rsa-sig要求使用CA并且提供防止抵赖功能；默认值rsa-encr不需要CA，提供防止抵赖功能pre-share通过手工配置预共享密钥(5)（可选）定义Diffie-Hellman标识符(isakmp)group{1|2}注释：除非购买高端路由器，或是VPN通信比较少，否则最好使用group1长度的密钥，group命令有两个参数值：1和2。参数值1表示密钥使用768位密钥，参数值2表示密钥使用1024位密钥，显然后一种密钥安全性高，但消耗更多的CPU时间。(6)（可选）定义安全关联的生命期(isakmp)lifetimeseconds注释：对生成新SA的周期进行调整。这个值以秒为单位，默认值为86400，也就是一天。值得注意的是两端的路由器都要设置相同的SA周期，否则VPN在正常初始化之后，将会在较短的一个SA周期到达中断。3、配置认证方式(三种选其一)1)、(rsa-sig)使用证书授权(CA)(1)确保路由器有主机名和域名(global)hostnamehostname(global)ipdomain-namedomain(2)产生RSA密钥(global)cryptokeygeneratersa(3)使用向IPSec对等端发布证书的CA－－设定CA的主机名(global)cryptocaidentityname－－设定联络CA所使用的URL(ca-identity)enrollmenturlurlURL应该采用的形式－－（可选）使用RA模式(ca-identity)enrollmentmodera(ca-identity)queryurlurl－－（可选）设定注册重试参数(ca-identity)enrollmentretryperiodminutes(ca-identity)enrollmentretrycountnumberminutes(1到60；默认为1)number(1到100；默认为0，代表无穷次)－－（可选）可选的证书作废列表(ca-identity)crloptional(4)（可选）使用可信的根CA－－确定可信的根CA(global)cryptocatrusted-rootname－－（可选）从可信的根请求CRL(ca-root)crlqueryurl－－定义注册的方法(ca-root)root{CEPurl|TFTPserverfile|PROXYurl}(5)认证CA(global)cryptocaauthenticatename(6)用CA注册路由器(global)cryptocaenrollname2)、(rsa-encr)手工配置RSA密钥（不使用CA）(1)产生RSA密钥(global)cryptokeygeneratersa(2)指定对等端的ISAKMP标识(global)cryptoisakmpidentity{address|hostname}(3)指定其他所有对等端的RSA密钥－－配置公共密钥链(global)cryptokeypubkey-chainrsa－－用名字或地址确定密钥(pubkey-chain)named-keykey-name[encryption|signature](pubkey-chain)addressed-keykey-name[encryption|signature]－－（可选）手工配置远程对等端的IP地址(pubkey-key)addressip-addr－－指定远程对等端的公开密钥(pubkey-key)key-stringkey-string3)、(preshare)配置预共享密钥(global)cryptoisakmpkeykey-string{addrss|hostname}{peer-address|peer-hostname}注释：返回到全局设置模式确定要使用的预先共享密钥和指定VPN另一端路由器IP地址，即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似4、（可选）使用IKE模式(1)定义要分发的“内部”或者受保护IP地址库(global)iplocalpoolpool-namestart-addressend-address(2)启动IKE模式协商(global)cryptoisakmpclientconfigurationaddress-poollocalpool-name