IPSec配置命令

2010-06-25 14:57:48| 分类： 路由交换|字号 订阅

IPSec配置命令

ipsec配置命令包括： 1 clear crypto sa

2 crypto ipsec transform-set 3 crypto map

4 crypto map {ipsec-manual|ipsec-isakmp} 5 cryto ipsec security-association lifetime 6 match address 7 mode 8 set peer

9 set security-association lifetime 10 set session-key ah 11 set session-key esp 12 set transform-set 13 show crypto ipsec sa

14 show crypto ipsec security-association lifetime 15 show crypto ipsec transform-set 16 show crypto map 17 debug crypto ipsec

1 clear crypto sa

命令：clear crypto sa [map [map-name] [[map-number]] ] [peer [ip-address]] 功能：删除安全联盟。

参数：map指定加密映射集；[map-name] [[map-number]]为加密映射集的名称或号码；peer 指定对端的ip地址；[ip-address]为对端的ip地址。 命令模式：特权用户配置模式。

使用指南：如果未使用map、peer关键字，所有的ipsec安全联盟都将被删除。 举例：删除由map-tunnel1创建的所有现存的安全联盟。

router#config

router(config)#clear crypto sa map map-tunnel1

2 crypto ipsec transform-set

命令：crypto ipsec transform-set [transform-set-name] [transform1] [[transform2] [[transform3]]]

no crypto ipsec transform-set [transform-set-name]

功能：定义变换集合，并进入到加密变换配置模式。该命令的no操作为清除变换集合。

参数：[transform-set-name]为变换表的名字，不能包括空格；[transform]为变换，定义在ipsec安全联盟协商期间，两端协商使用哪种特定安全协议和算法来保护特定的数据流。其中[transform]可从下表三组中进行选择，每组最多选择一个。 缺省情况：系统缺省没有任何变换表。 命令模式：全局配置模式。

使用指南：在使用ike方式协商安全联盟时，可以定义多个变换集合，然后在一个加密映射表中设置这些变换集合中的一个或多个，协商时两端会查找双方一致的变换集合。而采用手工方式建立安全联盟时，两端之间不存在协商过程，所以双方必须指定相同的变换集合。如果对变换集合的定义进行改变，那么改变将只被应用于设置了这个变换集合的加密映射表中。改变将不被应用于现存的安全联盟，但它将被应用于随后建立新安全联盟的协商中。如果想让这些新的设置马上生效，可以通过使用clear crypto sa命令将安全联盟数据库部分或全部清除。 举例：定义一个变换集合，名字为new，需要支持ah-md5、esp-3des、esp-sha安全协议和算法的组合，其相应的变换表配置如下： router#config

router(config)#crypto ipsec transform-set new ah-md5 esp-3des esp-shac

3 crypto map

命令：crypto map [map-name] no crypto map

功能：在接口上应用加密映射表集合，no操作将删除接口应用的加密映射表集合。

参数：[map-name]为应用在接口上的加密映射表的名字，不能包括空格。

缺省情况：系统缺省没有在接口上应用加密映射表集合。 命令模式：接口配置模式

使用指南：对于单个接口只能应用一个加密映射表集合。如果想要将相同的策略应用到多个接口上，也可以让多个接口共享同一加密映射表集合。如果为一个给定的接口创建多个加密映射表，那么就要使用加密映射表的seq-num参数将这些加密映射排序，seq-num值越小，优先级越高。在配有这个加密映射表集合的接口上，首先用高优先级的映射对通信进行判断。

举例：在serial 2/0接口上应用名为map-tunnel1的加密映射表。 router#config

router(config)#interface serial 2/0

router(config-serial2/0)#crypto map map-tunnel1

4 crypto map {ipsec-manual|ipsec-isakmp}

命令：crypto map [map-name] [seq-num] {ipsec-manual|ipsec-isakmp} no crypto map [map-name] [seq-num]

功能：创建加密映射表，执行此命令将进入加密映射表配置模式；此命令的no操作为删除此加密映射表。

参数：[map-name]为加密映射表名，不能包括空格；[seq-num]为相同名称的加密映射表的顺序号，seq-num值越小，优先级越高，其取值范围为0 ~ 65535之间的整数；ipsec-manual表示手工方式创建加密映射表；ipsec-isakmp表示ike方式创建加密映射表。

缺省情况：系统缺省没有任何加密映射表。 命令模式：全局配置模式。

使用指南：具有相同名字（但映射序列号不同）的加密映射表组成一个加密映射表集合，其中序号越小其优先级越高，然后将加密映射表集合应用到接口上。为了使ipsec两端之间的ipsec通信能够顺利进行，两端的加密映射表必须包含相兼容的配置语句。当两端尝试建立安全联盟时，双方都必须至少有一条加密映射表和对端的一条加密映射表相兼容。两条加密映射表相兼容必须至少满足以下条件：1) 加密映射表必须包含兼容的加密访问列表；2) 双方的加密映射表都必须确定对端地址；3) 加密映射表必须至少有一个相同的变换集合。 举例：

例1：手工建立安全联盟的加密映射表map- tunnel1，优先级为10。

router#config

router(config)#crypto map map-tunnel1 10 ipsec-manual

例2：ike方式建立安全联盟的加密映射表map- tunnel2，优先级为10。 router#config

router(config)#crypto map map-tunnel2 10 ipsec-isakmp

5 crypto ipsec security-association lifetime

命令：cryto ipsec security-association lifetime {seconds [seconds] | kilobytes [kilobytes]}

no cryto ipsec security-association lifetime {seconds | kilobytes}

功能：配置所有ike安全联盟的生存时间，此命令的no操作恢复缺省值。 参数：seconds指定ike安全联盟“计时”的生存周期；[seconds]为ike安全联盟的生存周期，单位为秒，取值范围为120~ 800；kilobytes指定ike安全联盟“计流”的生存周期；[kilobytes]为ike安全联盟的生存周期，单位为千字节，取值范围为2560 ~ 536870912。

缺省情况：系统缺省的安全联盟的生存周期为3600s（1小时），即流量为4608000kilobytes(10mbytes/s，正好1小时) 命令模式：全局配置模式。

使用指南：安全联盟生存周期有两种类型：一种为“计时间”的生存周期，另一种为“计流量”的生存周期。无论哪一种类型的生存周期先到期，安全联盟都会失效。在安全联盟即将失效前，ike将为ipsec协商建立新的安全联盟。安全联盟的生存周期只对由ike建立的安全联盟有效，手工建立的安全联盟永久有效。 举例：建立ike安全联盟的生存周期为300s。 router#config

router(config)# cryto ipsec security-association lifetime seconds 300

6 match address

命令：match address [access-list-number] no match address [access-list-number]

功能：配置加密映射表引用的加密访问控制列表；此命令的no操作是取消加密映射表引用的加密访问控制列表的配置。

参数：[access-list-number]为加密访问控制列表的号，取值范围为100~199之

间的整数。

缺省情况：系统缺省没有配置此加密映射表引用的加密访问控制列表。 命令模式：加密映射表配置模式。

使用指南：这个加密访问控制列表决定哪些报文受到ipsec的保护，哪些报文不受到此加密映射表中定义的ipsec安全保护。

举例：将10.1.1.0网段的到20.1.1.0网段访问的ip数据包进行ipsec安全保护。其对加密映射表的配置如下： router#config

router(config)#access-list 101 permit tcp 10.1.1.0 0.0.0.255 20.1.1.0 0.0.0.255 router(config)#crypto map map-tunnel1 10 ipsec-manual router(config-crypto-m)#match address 101

7 mode

命令：mode {transport|tunnel} no mode

功能：改变变换集合的工作模式；该命令的no操作为恢复缺省值。 参数：transport表示ipsec的工作方式为传送模式；tunnel表示ipsec的工作方式为通道模式。

缺省情况：系统缺省的ipsec的工作方式为隧道模式。 命令模式：加密变换配置模式。

使用指南：传送模式设置只对那些源和目标地址都是ipsec两端地址的通信有用，而对于所有其他通信无效。其他通信只能在隧道模式下进行。

举例：定义一个变换集合，名字为new，需要支持ah-md5、esp-3des、esp-sha安全协议和算法的组合，同时将其工作模式设置为tunnel方式，其相应配置如下： router#config

router(config)#crypto ipsec transform-set new ah-md5 esp-3des esp-sha router(cfg-crypto-tran)#mode tunnel

8 set peer

命令：set peer [ip-address] no set peer [ip-address]

功能：设置ipsec对端地址；此命令的no操作取消ipsec对端地址的设置。

参数：[ip-address]为ipsec对端的ip地址。

缺省情况：系统缺省没有设置此加密映射表的对端地址。 命令模式：加密映射表配置模式。

使用指南：ipsec安全隧道是一个点对点的概念，是建立在本端和对端网关之间的，所以配置ipsec的加密映射表时必须正确设置对端地址才能成功的建立起一条安全隧道。

举例：将10.1.1.0网段的到20.1.1.0网段访问的ip数据包进行ipsec安全保护， 其对加密映射表的配置如下： router#config

router(config)#access-list 101 permit tcp 10.1.1.0 0.0.0.255 20.1.1.0 0.0.0.255 router(config)#crypto map map-tunnel1 10 ipsec-manual router(config-crypto-m)#match address 101 router(config-crypto-m)#set peer 20.1.1.1

9 set security-association lifetime

命令：set security-association lifetime {seconds [seconds] | kilobytes [kilobytes]} no set security-association lifetime {seconds | kilobytes}

功能：配置ike安全联盟单独生存时间，此命令的no操作恢复缺省值。 参数：seconds指定ike安全联盟“计时”的生存周期；[seconds]为ike安全联盟的生存周期，单位为秒，取值范围为120 ~ 800；kilobytes指定ike安全联盟“计流”的生存周期；[kilobytes]为ike安全联盟的生存周期，单位为千字节，取值范围为2560 kbytes~ 536870912kbytes。

缺省情况：系统缺省的安全联盟的生存时间为3600s（1小时），即流量为4608000kilobytes（10mbytes/s，正好1小时）。 命令模式：全局配置模式。

使用指南：安全联盟生存周期有两种类型：一种为“计时间”的生存周期，另一种为“计流量”的生存周期。无论哪一种类型的生存周期先到期，安全联盟都会失效。在安全联盟即将失效前，ike将为ipsec协商建立新的安全联盟。安全联盟的生存周期只对由ike建立的安全联盟有效，手工建立的安全联盟永久有效。 举例：设置由加密映射表map-tunnel1创建的ike安全联盟的生存时间为300秒。

router#config

router(config)#crypto map map-tunnel1 10 ipsec-isakmp

router(config-crypto-m)#set security-assocoation lifetime seconds 300

10 set session-key ah

命令：set session-key {inbound | outbound} ah [spi] [hex-key-string] no set session-key {inbound | outbound} ah

功能：设置出和入的报文的ah安全参数索引（spis）和密钥；此命令的no操作为取消为出和入的报文设置的ah安全参数索引（spis）和密钥。

参数：inbound指定入报文的密钥；outbound指定出报文的密钥；[spi]为安全参数索引值，用来标识一个安全联盟，其取值范围是256 ~ 4294967295（ffffffff）；[hex-key-string]为密钥，按十六进制的格式输入。

缺省情况：系统缺省没有为出和入的报文设置ah安全参数索引（spis）和密钥。 命令模式：加密映射表配置模式。

使用指南：手工方式创建的加密映射表中如果引用的变换集合包括ah协议，那么需要手工为入/出的通信设置ah安全联盟的spi和使用的验证密钥。可以为两个方向的和两个协议的安全联盟设置一样的spi，但如果安全联盟的目的地址和协议号一样，则必须使用一个不同的spi。

举例：将10.1.1.0网段的到20.1.1.0网段访问的ip数据包进行ipsec安全保护，使用变换集合new（需要支持ah-md5安全协议和算法），其相应的变换表配置如下： router#config

router(config)#crypto ipsec transform-set new ah-md5 router(config)#crypto map map-tunnel1 10 ipsec-manual router(config-crypto-m)#set transform-set new router(config-crypto-m)#set session-key inbound ah 300 fedcbafedcbafedcbafedcbafedcbafe

router(config-crypto-m)#set session-key outbound ah 300 000111222333444555666777bb

11 set session-key esp

命令：set session-key {inbound | outbound} esp [spi] cipher [hex-key-string] [authenticator[hex-key-string]]no set session-key {inbound | outbound} esp

功能：为出和入报文设置esp安全参数索引和密钥；此命令的no操作为取消为出和入的报文设置的ah安全参数索引（spis）和密钥。

参数：inbound指定入报文的密钥；outbound指定出报文的密钥；cipher指定esp加密密钥；authenticator指定验证密钥；[spi]为安全参数索引值，用来标识一个安全联盟，其取值范围是256 ~ 4294967295（ffffffff）；[hex-key-string]为密钥，按十六进制的格式输入。

缺省情况：系统缺省没有为出和入的报文设置esp安全参数索引（spis）和密钥。

命令模式：加密映射表配置模式。

使用指南：手工方式创建的加密映射表中如果引用的变换集合包括esp协议，那么需要手工为入/出的通信设置esp安全联盟的spi和使用的加密/验证密钥。如果变换集合包括了esp加密算法，必须给出加密密钥。如果变换集合包括了esp验证算法，必须给出验证密钥。可以为两个方向的和两个协议的安全联盟设置一样的spi，但如果安全联盟的目的地址和协议号一样，则必须使用一个不同的spi。 举例：将10.1.1.0网段的到20.1.1.0网段访问的ip数据包进行ipsec安全保护，使用变换集合new（需要支持ah-md5、esp-3des和esp-sha安全协议和算法）。 router#config

router(config)#crypto ipsec transform-set new ah-md5 esp-3des esp-sha router(config)#crypto map map-tunnel1 10 ipsec-manual router(config-crypto-m)#match address 101 router(config-crypto-m)#set transform-set new router(config-crypto-m)#set session-key inbound ah 300 fedcbafedcbafedcbafedcbafedcbafe

router(config-crypto-m)#set session-key outbound ah 300 000111222333444555666777bb

router(config-crypto-m)#set session-key inbound esp 4294967295 cipher fedcbafedcbafedcbafedcbafedcbafedcbafedcbafedcba authenticator fedcbafedcbafedcbafedcbafedcbafedcbafedc

router(config-crypto-m)#set session-key outbound esp 4294967295 cipher 98763210987632109876321098763210987632 authenticator 999988887777666655443333222211110000

12 set transform-set

命令：set transform-set [transform-set-name] no set peer [transform-set-name]

功能：设置加密映射表引用的变换集合；此命令的no操作取消对加密映射表引用的变换集合的配置。

参数：[transform-set-name]为变换表的名字，不能包括空格。 缺省情况：系统缺省没有配置此加密映射表的变换表。 命令模式：加密映射表配置模式。

使用指南：对于ipsec-manual，只能指定一个变换集合；对于ipsec-isakmp，可以最多定义六个变换集合，第一个具有最高优先级。

举例：将10.1.1.0网段的到20.1.1.0网段访问的ip数据包进行ipsec安全保护，使用变换集合new（需要支持ah-md5、esp-3des、esp-sha安全协议和算法的组合）。 router#config

router(config)#crypto ipsec transform-set new ah-md5 esp-3des esp-sha router(config)#crypto map map-tunnel1 10 ipsec-manual router(config-crypto-m)#set transform-set new

13 show crypto ipsec sa

命令：show crypto ipsec sa [map [map-name] [[map-number]] ] 功能：显示安全联盟信息。

参数：map指定加密映射集；[map-name] [[map-number]]为加密映射集的名称或号码。

命令模式：特权用户配置模式 举例：查看安全联盟

router# show crypto ipsec sa map map-r1-tunnel2

local ident (addr/mask/prot/port): (30.1.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (140.1.1.0/255.255.255.0/0/0) #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0 #send errors 0, #recv errors 0

local crypto endpt.: 0.0.0.0, remote crypto endpt.: 120.1.1.2 inbound esp sas: spi: 0x258(600)

transforms: esp-des esp-md5-hmac , in use settings ={tunnel, } replay detection support: n outbound esp sas: spi: 0x258(600)

transforms: esp-des esp-md5-hmac , in use settings ={tunnel, } replay detection support: n inbound ah sas: spi: 0x1f4(500)

transforms: ah-md5-hmac , in use settings ={tunnel, } replay detection support: n outbound ah sas: spi: 0x1f4(500)

transforms: ah-md5-hmac , in use settings ={tunnel, } replay detection support: n

14 show crypto ipsec security-association lifetime

命令：show crypto ipsec security-association lifetime 功能：显示安全联盟的生存周期。 命令模式：特权用户配置模式

举例：查看设置的安全联盟的生存周期。 router#show crypto ipsec security-association lifetime security-association lifetime: 4608000 kilobytes/3600 seconds.

15 show crypto ipsec transform-set

命令：show crypto ipsec transform-set [tag [transform-set-name]] 功能：显示变换集合变换集合。

参数：tag指定变换集合；[transform-set-name]为变换集合的名字。 命令模式：特权用户配置模式

举例：查看所有的变换集合变换集合。 router#show crypto ipsec transform-set

transform set trans-r1-transport2: { ah-sha-hmac esp-3des esp-md5-hmac } will negotiate = { transport },

transform set trans-r1-tunnel2: { ah-md5-hmac esp-des esp-md5-hmac } will negotiate = { tunnel }

router#show cry ips tr tag trans-r1-transport2

transform set trans-r1-transport2: { ah-sha-hmac esp-3des esp-md5-hmac } will negotiate = { transport },

16 show crypto map

命令：show crypto map [tag [map-name] [[map-number]] | interface [interface]] 功能：显示加密映射表信息。

参数：tag指定变换集合；[transform-set-name]为变换集合的名字；interface指定接口；[interface]为接口名。 命令模式：特权用户配置模式 举例：

router#show crypto map interface serial 4/0 crypto map \"map-r1-tunnel2\" 10 ipsec-manual peer = 120.1.1.2

extended ip access list 102

permit ip 30.1.1.0 0.0.0.255 140.1.1.0 0.0.0.255 transform sets = { trans-r1-tunnel2, } inbound esp spi: 600,

cipher key: 01234567012345,

auth_key: 99988877766654333222111000aa, inbound ah spi: 500,

key: 99988877766654333222111000aa, outbound esp spi: 600, cipher key: abcdefabcdefabcd,

auth_key: abcdefabcdefabcdefabcdefabcdefab, outbound ah spi: 500,

key: abcdefabcdefabcdefabcdefabcdefab, interfaces using crypto map (null):serial4/0

17 debug crypto

命令： debug crypto ipsec 缺省情况：系统缺省设置是没有打开ipsec的调试开关。router#debug crypto ipsec no debug crypto ipsec

功能：打开ipsec的调试开关；本命令的no操作为恢复缺省情况。 命令模式：特权用户配置模式。 举例：

04:05:27: ipsec(create_sa):

sa_dest= 120.1.1.2, sa_prot= 50 sa_spi= 258(600) sa_spi= 258(600) sa_spi= 1f4(500) sa_spi= 1f4(500) 04:05:27: ipsec(create_sa): sa_dest= 120.1.1.1, sa_prot= 50 04:05:27: ipsec(create_sa): sa_dest= 120.1.1.2, sa_prot= 51 04:05:27: ipsec(create_sa): sa_dest= 120.1.1.1, sa_prot= 51