IKE:internet key exchange 互联网秘钥交换协议 一、IKE的作用? 负责建立和维护iskamp sa和ipsec sa,对站点双方进行认证,交换公共秘钥,产生秘钥资源以及协商协议的参数。(封装、加密和验证) 二、Ike的核心协议iskamp? Iskamp是ike的核心协议,主要用于去进行协商,认证。 三、Ike的两个阶段和三种模式? 第一阶段:通过建立iskamp sa来进行认证; 第二阶段:通过建立的ipsec sa对实际的数据流量进行加密。 第一阶段的主模式6个包: 1、2主要用于协商策略,定义认证的方式; 3、4主要用于秘钥交换,产生ipsec vpn所需要的秘钥; 5、6主要在一个加密的环境是去实施认证。即第一阶段主要是进行认证的。 第二阶段快速模式的三个包: 主要用于协商对真是数据流量如何处理,不同的数据流量可能采用的方式是不一样的。 四、Lan to lan vpn配置实例: 配置步骤: 1、解决路由问题;(通常使用缺省路由) 2、IKE第一阶段,进行认证,实现vpn链接的建立; 3、IKE第二阶段,定义如何对实际数据流量进行处理; 4、定义感兴趣流; 5、定义crypto map对第二阶段的策略进行归类; 6、将map应用在接口下。 图例: 配置命令: Site1: 定义协商认证策略 Crypto isakmp policy 10 Encryption des|3des|aes Hash md5|sha Authentication pre-share|rsa-sig Group 2 配置认证秘钥: Crypto isakmp key 0 cisco address 202.100.1.2 配置ipsec 策略(转换集) Crypto ipsec transform-set trans esp-des esp-md5-hmac 定义感兴趣流: Ip access-list extended vpn Permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 配置crypto map Crypto map aaa 10 ipsec-isakmp(加密的秘钥由谁产生) Match address vpn Set transform-set trans Set peer 202.100.1.2 进行接口的调用: Crypto map aaa Site2 同site1 本文来源:https://www.wddqw.com/doc/3956c2be172ded630b1cb6e2.html