IPSec配置命令

2024年5月25日发(作者：)

IPSec配置命令

2010-06-25 14:57:48| 分类： 路由交换|字号 订阅

IPSec配置命令

ipsec配置命令包括：

1 clear crypto sa

2 crypto ipsec transform-set

3 crypto map

4 crypto map {ipsec-manual|ipsec-isakmp}

5 cryto ipsec security-association lifetime

6 match address

7 mode

8 set peer

9 set security-association lifetime

10 set session-key ah

11 set session-key esp

12 set transform-set

13 show crypto ipsec sa

14 show crypto ipsec security-association lifetime

15 show crypto ipsec transform-set

16 show crypto map

17 debug crypto ipsec

1 clear crypto sa

命令：clear crypto sa [map [map-name] [[map-number]] ] [peer [ip-address]]

功能：删除安全联盟。

参数：map指定加密映射集；[map-name] [[map-number]]为加密映射集的名称

或号码；peer 指定对端的ip地址；[ip-address]为对端的ip地址。

命令模式：特权用户配置模式。

使用指南：如果未使用map、peer关键字，所有的ipsec安全联盟都将被删除。

举例：删除由map-tunnel1创建的所有现存的安全联盟。

router#config

router(config)#clear crypto sa map map-tunnel1

2 crypto ipsec transform-set

命令：crypto ipsec transform-set [transform-set-name] [transform1] [[transform2]

[[transform3]]]

no crypto ipsec transform-set [transform-set-name]

功能：定义变换集合，并进入到加密变换配置模式。该命令的no操作为清除

变换集合。

参数：[transform-set-name]为变换表的名字，不能包括空格；[transform]为变换，

定义在ipsec安全联盟协商期间，两端协商使用哪种特定安全协议和算法来保护

特定的数据流。其中[transform]可从下表三组中进行选择，每组最多选择一个。

缺省情况：系统缺省没有任何变换表。

命令模式：全局配置模式。

使用指南：在使用ike方式协商安全联盟时，可以定义多个变换集合，然后在

一个加密映射表中设置这些变换集合中的一个或多个，协商时两端会查找双方一

致的变换集合。而采用手工方式建立安全联盟时，两端之间不存在协商过程，所

以双方必须指定相同的变换集合。如果对变换集合的定义进行改变，那么改变将

只被应用于设置了这个变换集合的加密映射表中。改变将不被应用于现存的安全

联盟，但它将被应用于随后建立新安全联盟的协商中。如果想让这些新的设置马

上生效，可以通过使用clear crypto sa命令将安全联盟数据库部分或全部清除。

举例：定义一个变换集合，名字为new，需要支持ah-md5、esp-3des、esp-sha

安全协议和算法的组合，其相应的变换表配置如下：

router#config

router(config)#crypto ipsec transform-set new ah-md5 esp-3des esp-shac

3 crypto map

命令：crypto map [map-name]

no crypto map

功能：在接口上应用加密映射表集合，no操作将删除接口应用的加密映射表

集合。

参数：[map-name]为应用在接口上的加密映射表的名字，不能包括空格。