VPN实例配置方案－中文详细注解二

　　3、(rsa-sig)使用证书授权(CA)
　　
　　(1)确保路由器有主机名和域名
　　
　　(global)hostname hostname
　　(global)ip domain-name domain
　　
　　(2)产生RSA密钥
　　
　　(global)crypto key generate rsa
　　
　　(3)使用向IPSec对等端发布证书的CA
　　
　　－－设定CA的主机名
　　(global)crypto ca identity name
　　－－设定联络CA所使用的URL
　　(ca-identity)enrollment url url
　　URL应该采用http://ca-domain-nameort/cgi-bin-location的形式
　　－－（可选）使用RA模式
　　(ca-identity)enrollment mode ra
　　(ca-identity)query url url
　　－－（可选）设定注册重试参数
　　(ca-identity)enrollment retry period minutes
　　(ca-identity)enrollment retry count number
　　minutes(1到60；默认为1) number(1到100；默认为0，代表无穷次)
　　－－（可选）可选的证书作废列表
　　(ca-identity)crl optional
　　
　　(4)（可选）使用可信的根CA
　　
　　－－确定可信的根CA
　　(global)crypto ca trusted-root name
　　－－（可选）从可信的根请求CRL
　　(ca-root)crl query url
　　－－定义注册的方法
　　(ca-root)root {CEP url | TFTP server file | PROXY url}
　　
　　(5)认证CA
　　
　　(global)crypto ca authenticate name
　　
　　(6)用CA注册路由器
　　
　　(global)crypto ca enroll name
　　
　　4、(rsa-encr)手工配置RSA密钥（不使用CA）
　　
　　(1)产生RSA密钥
　　
　　(global)crypto key generate rsa
　　
　　(2)指定对等端的ISAKMP标识
　　
　　(global)crypto isakmp identity {address | hostname}
　　
　　(3)指定其他所有对等端的RSA密钥
　　
　　－－配置公共密钥链
　　(global)crypto key pubkey-chain rsa
　　
　　－－用名字或地址确定密钥
　　(pubkey-chain)named-key key-name [encryption | signature]
　　(pubkey-chain)addressed-key key-name [encryption | signature]
　　
　　－－（可选）手工配置远程对等端的IP地址
　　(pubkey-key)address ip-addr
　　
　　－－指定远程对等端的公开密钥
　　(pubkey-key)key-string key-string
　　
　　5、(preshare)配置预共享密钥
　　
　　(global)crypto isakmp key key-string {addrss | hostname} {peer-address | peer-hostname}
　　注释：返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址，即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似
　　
　　6、（可选）使用IKE模式
　　
　　(1)定义要分发的“内部”或者受保护IP地址库
　　
　　(global)ip local pool pool-name start-address end-address
　　
　　(2)启动IKE模式协商
　　
　　(global)crypto isakmp client configuration address-pool local pool-name
　　
　　--------------IPSec配置----------------
　　
　　IPSec 使用加密、数据完整性、源发鉴别以及拒绝重演分组来保护和认证网络层对等端之间的IP分组
　　
　　IPSec对于构建内因网、外因网以及远程用户接入VPN来说非常有用处
　　
　　IPSec支持以下标准
　　
　　--Internet协议的安全体系结构
　　--IKE(Internet密钥交换)
　　--DES(数据加密标准)
　　--MD5
　　--SHA
　　--AH(Authentication Header，认证首部)数据认证和反重演(anti-reply)服务
　　--ESP(Encapsulation Security Payload，封装安全净荷)数据隐私、数据验证以及反重演(anti-reply)服务
　　
　　敏感流量由访问列表所定义，并且通过crypto map(保密图)集被应用到接口上。
　　
　　配置
　　
　　1、为密钥管理配置IKE
　　
　　2、（可选）定义SA的全局生命期
　　
　　(global)crypto ipsec security-association lifetime seconds seconds
　　(global)crypto ipsec security-association lifetime killobytes kilobytes
　　
　　3、定义保密访问列表来定义受保护的流量
　　
　　(global)access-list access-list-number ....
　　或者
　　(global)ip access-list extended name
　　扩展的访问列表必须定义由IPSec保护哪种IP流量。保密图(crypto map)援引这个访问列表来确定在接口上要保护的流量。
　　
　　4、定义IPSec交换集
　　
　　(1)创建变换集
　　
　　(global)crypto ipsec transform-set name [transform1 | transform2 | transform3]
　　可以在一个保密图(crypto map)中定义多个变换集。如果没有使用IKE，那么只能定义一种变换集。用户能够选择多达三种变换。
　　（可选）选择一种AH变换
　　--ah-md5-hmac
　　--ah-sha-hmac
　　--ah-rfc-1828
　　（可选）选择一种ESP加密编号
　　--esp-des
　　--esp-3des
　　--esp-rfc-1829
　　--esp-null
　　以及这些验证方法之一
　　--esp-md5-hmac
　　--esp-sha-hmac
　　（可选）选择IP压缩变换
　　--comp-lzs
　　
　　(2)（可选）选择变换集的模式
　　
　　(crypto-transform)mode {tunnel | transport}
　　
　　5、使用IPSec策略定义保密映射
　　
　　保密图(crypto map)连接了保密访问列表，确定了远程对等端、本地地址、变换集和协商方法。
　　
　　(1)（可选）使用手工的安全关联（没有IKE协商）
　　
　　--创建保密图
　　(global)crypto map map-name sequence ipsec-manual
　　
　　--援引保密访问列表来确定受保护的流量
　　(crypto-map)match address access-list
　　
　　--确定远程的IPSec对等端
　　(crypto-map)set peer {hostname | ip_addr}
　　
　　--指定要使用的变换集
　　(crypto-map)set transform-set name
　　变换集必须和远程对等端上使用的相同
　　
　　--（仅适用于AH验证）手工设定AH密钥
　　(crypto-map)set session-key inbound ah spi hex-key-data
　　(crypto-map)set session-key outbound ah spi hex-key-data
　　
　　--（仅适用于ESP验证）手工设定ESP SPI和密钥
　　(crypto-map)set session-key inbound ah spi hex-key-data [authenticator hex-key-data]
　　(crypto-map)set session-key outbound ah spi hex-key-data [authenticator hex-key-data]
　　
　　(2)（可选）使用IKE建立的安全关联
　　
　　--创建保密图
　　(global)crypto map map-name sequence ipsec-isakmp
　　
　　--援引保密访问列表来确定受保护的流量
　　(crypto-map)match address access-list
　　
　　--确定远程的IPSec对等端
　　(crypto-map)set peer {hostname | ip_addr}
　　
　　--指定要使用的变换集
　　(crypto-map)set transform-set name
　　变换集必须和远程对等端上使用的相同
　　
　　--（可选）如果SA生命期和全局默认不同，那么定义它：
　　(crypto-map)set security-association lifetime seconds seconds
　　(crypto-map)set security-association lifetime kilobytes kilobytes
　　
　　--（可选）为每个源/目的主机对使用一个独立的SA
　　(crypto-map)set security-association level per-host
　　
　　--（可选）对每个新的SA使用完整转发安全性
　　(crypto-map)set pfs [group1 | group2]
　　
　　(3)（可选）使用动态安全关联
　　
　　--创建动态的保密图
　　(global)crypto dynamic-map dyn-map-name dyn-seq-num
　　
　　--（可选）援引保密访问列表确定受保护的流量
　　(crypto-map)match address access-list
　　
　　--（可选）确定远程的IPSec对等端
　　(crypto-map)set peer {hostname | ip_addr}
　　
　　--（可选）指定要使用的变换集
　　(crypto-map)set transform-set tranform-set-name
　　
　　--（可选）如果SA生命期和全局默认不同，那么定义它：
　　(crypto-map)set security-association lifetime seconds seconds
　　(crypto-map)set security-association lifetime kilobytes kilobytes
　　
　　--（可选）对每个新的SA使用完整转发安全性
　　(crypto-map)set pfs [group1 | group2]
　　
　　--将动态保密图集加入到正规的图集中
　　(global)crypto map map-name sequence ipsec-isakmp dynamic dyn-map-name [discover]
　　
　　--（可选）使用IKE模式的客户机配置
　　(global)crypto map map-name client configuration address [initiate | respond]
　　
　　--（可选）使用来自AAA服务器的预共享IKE密钥
　　(global)crypto map map-name isakmp authorization list list-name
　　
　　6、将保密映射应用到接口上
　　
　　(1)指定要使用的保密映射
　　
　　(interface)crypto map map-name
　　
　　(2)（可选）和其他接口共享保密映射
　　
　　(global)crypto map map-name local-address interface-id