IPSec配置命令.docVIP

IPSec配置命令?? 2010-06-25 14:57:48|??分类：?路由交换|字号?订阅 IPSec ipsec配置命令包括：??? 1 clear crypto sa??? 2 crypto ipsec transform-set??? 3 crypto map??? 4 crypto map {ipsec-manual|ipsec-isakmp}??? 5 cryto ipsec security-association lifetime??? 6 match address??? 7 mode??? 8 set peer??? 9 set security-association lifetime??? 10 set session-key ah??? 11 set session-key esp??? 12 set transform-set??? 13 show crypto ipsec sa??? 14 show crypto ipsec security-association lifetime??? 15 show crypto ipsec transform-set??? 16 show crypto map??? 17 debug crypto ipsec 1 clear crypto sa????命令：clear crypto sa [map [map-name] [[map-number]] ] [peer [ip-address]]????功能：删除安全联盟。????参数：map指定加密映射集；[map-name] [[map-number]]为加密映射集的名称或号码；peer?指定对端的ip地址；[ip-address]为对端的ip地址。????命令模式：特权用户配置模式。????使用指南：如果未使用map、peer关键字，所有的ipsec安全联盟都将被删除。????举例：删除由map-tunnel1创建的所有现存的安全联盟。??? router#config??? router(config)#clear crypto sa map map-tunnel12 crypto ipsec transform-set????命令：crypto ipsec transform-set [transform-set-name] [transform1] [[transform2] [[transform3]]]??? no crypto ipsec transform-set [transform-set-name]????功能：定义变换集合，并进入到加密变换配置模式。该命令的no操作为清除变换集合。????参数：[transform-set-name]为变换表的名字，不能包括空格；[transform]为变换，定义在ipsec安全联盟协商期间，两端协商使用哪种特定安全协议和算法来保护特定的数据流。其中[transform]可从下表三组中进行选择，每组最多选择一个。????缺省情况：系统缺省没有任何变换表。????命令模式：全局配置模式。????使用指南：在使用ike方式协商安全联盟时，可以定义多个变换集合，然后在一个加密映射表中设置这些变换集合中的一个或多个，协商时两端会查找双方一致的变换集合。而采用手工方式建立安全联盟时，两端之间不存在协商过程，所以双方必须指定相同的变换集合。如果对变换集合的定义进行改变，那么改变将只被应用于设置了这个变换集合的加密映射表中。改变将不被应用于现存的安全联盟，但它将被应用于随后建立新安全联盟的协商中。如果想让这些新的设置马上生效，可以通过使用clear crypto sa命令将安全联盟数据库部分或全部清除。????举例：定义一个变换集合，名字为new，需要支持ah-md5、esp-3des、esp-sha安全协议和算法的组合，其相应的变换表配置如下：??? router#config??? router(config)#crypto ipsec transform-set new ah-md5 esp-3des esp-shac3 crypto map????命令：crypto map [map-name]??? no crypto map????功能：在接口上应用加密映射表集合，no操作将删除接口应用的加密映射表集合。????参数：[map-name]为应用在接口上的加密映射表的名字，不能包括空格。????缺省情况：系统缺省没有在接口上应用加密映射表集合。????命令模式：接口配置模式????使用指南：对于单个接口只能应用一个加密映射表集合。如果想要将相同的策略应用到