Необходимо настроить на маршрутизаторах R1 и R2 для политики ISAKMP алгоритм шифрования PSK.
Ключ – remote_vpn
Определение набора преобразований IPSec
Набор преобразований это сочетание индивидуальных преобразований IPsec, которые предназначены для включения специфической политики безопасности. В процессе второй фазы IKE стороны «договариваются» использовать отдельный набор преобразований для защиты соответствующего потока данных.
Набор преобразований состоит из сочетания преобразований AH с HMAC(Hash-based Message Authentication Code), ESP и туннельного или транспортного режима IPSec.
Набор преобразований может состоять из одного AH и одного или двух ESP и записывается в криптографическую карту (crypto map).
SA IPSec использует набор преобразований, которые определены в криптографической карте для защиты данных выделенных списком доступа этой карты.
Для создания набора преобразований в режиме глобальной конфигурации необходимо выполнить команду crypto ipsec transform-set с указание имени набора и методов (от одного до четырех).
|
|
Если в наборе преобразований указан протокол ESP, то должен быть выбран протокол аутентификации ESP.
Замечание. Для передачи трафика необходимо, чтобы наборы преобразований у соединяющихся сторон совпали.
Router(config)# crypto ipsec transform-set transform-set-name transform1 [transform2] [transform3] [transform4]
transform-set-name –имя набора преобразований.
transform1 [transform2] [transform3] [transform4] – методы преобразований – один AH, один ESP – шифрование, один ESP – аутентификация.
Список методов.
метод | описание |
ah-md5-hmac | Тип AH. Алгоритм аутентификации AH c MD5 |
ah-sha-hmac | Тип AH. Алгоритм аутентификации AH c SHA |
esp-aes | Тип ESP. Стандарт шифр. AES 128 бит |
esp-aes 192 | Тип ESP. Стандарт шифр. AES 192 бита |
esp-aes 256 | Тип ESP. Стандарт шифр. AES 256 бит |
esp-des | Тип ESP. Стандарт шифр. DES 56 бит |
esp-3des | Тип ESP. Стандарт шифр. 3 DES 168 бит |
esp-null | Тип ESP. Стандарт шифр Null |
esp-seal | Тип ESP. Стандарт шифр. SEAL 160 бит |
esp-md5-hmac | Тип ESP. Алгоритм аутентификации ESP c MD5 |
esp-sha-hmac | Тип ESP. Алгоритм аутентификации ESP c SHA |
comp-lzs | IP сжатие по алгоритму Lempel-Ziv-Stac (LZS) |
Пример определения набора преобразований IPSec
Необходимо настроить на маршрутизаторах R1 и R2 наборы преобразований IPSec.
Для R1.
Имя – to_routerX
Алгоритм шифрования – ESP - 3DES.
Аутентификация – MD5.
Имя –
Алгоритм шифрования – ESP – AES 192.
Аутентификация – MD5.
Для R2.
Имя – to_routerZ
Алгоритм шифрования – ESP - DES.
Аутентификация – MD5.
Имя – to_routerW
Алгоритм шифрования – ESP – 3DES.
Аутентификация – MD5.