IKE配置命令

IKE配置命令
ike配置命令包括：
    1 authentication
    2 clear crypto isakmp
    3 crypto isakmp enable
    4 crypto isakmp key address
    5 crypto isakmp policy
    6 encryption
    7 group
    8 hash
    9 lifetime
    10 show crypto isakmp sa
    11 show crypto isakmp policy
    12 debug crypto isakmp
    5.3.2.1 authentication pre-share
    命令：authentication pre-share
    功能：为一个ike策略选择认证方法，目前dcr只支持预共享密钥的认证方法；
    参数：pre-share指定预共享密钥作为认证方法。
    缺省情况：系统缺省选择的认证方法为预共享密钥签名。
    命令模式：ike策略配置模式。
    使用指南：指定的认证方法是pre-share，两端就必须分别配置自己的预共享密钥。
    举例：创建一个优先级为15的ike策略，并为此策略选择pre-share作为认证方法。
    router#config
    router(config)#crypto isakmp policy 15
    router(config-crypto-ike-policy-15)#authentication per-share
    5.3.2.2 clear crypto isakmp
    命令：clear crypto isakmp `connection-id`
    功能：删除ike安全策略。
    参数：[connection-id]为ike安全联盟的连接标识号。
    命令模式：特权用户模式。
    使用指南： [connection-id]为可选项，若使用，则只删除连接标识号为[connection-id]的ike安全联盟。若不使用，则删除所有存在的ike安全联盟。
    dst src state conn-id
    100.1.1.2 100.1.1.1 qm_idle 0
    110.1.1.2 110.1.1.1 qm_idle 1
    130.1.1.2 130.1.1.1 qm_idle 2
    router#config
    router(config)#clear crypto isakmp 2
    router(config)#exit
    router#show crypto isakmp sa
    dst src state conn-id
    100.1.1.2 100.1.1.1 qm_idle 0
    110.1.1.2 110.1.1.1 qm_idle 1
    router#config
    router(config)#clear crypto isakmp
    router(config)#exit
    router#show crypto isakmp sa
    dst src state conn-id
    5.3.2.3 crypto isakmp enable
    命令：crypto isakmp enable
    no crypto isakmp enable
    功能：启用ike；本命令的no操作是关闭ike。
    缺省情况：系统缺省设置是关闭ike的。
    命令模式：全局配置模式。
    使用指南：本命令是针对router上所有接口的，并且一旦关闭了ipsec一端的ike功能，那么就必须关闭所有与这一端通信的ipsec的ike功能。
    举例：
    router#config
    router(config)#crypto isakmp enable //启用ike
    router(config)#no crypto isakmp enable //关闭ike
    5.3.2.4 crypto isakmp key address
    命令：crypto isakmp key [keystring] address [peer-address] `mask`
    no crypto isakmp key [keystring] address [peer-address]
    功能：为使用pre-share认证方法的ike设置预共享密钥；本命令的no操作为删除设置的预共享密钥。
    参数：key指定ike预共享密钥；[keystring]为设置的预共享密钥，是由数字和字母的任意组合组成，最长为128个字节。address 指定对端的ip地址，[peer-address]为对端的ip地址。`mask`为对端地址的网络掩码。
    缺省情况：系统缺省没有设置预共享密钥。
    命令模式：全局配置模式。
    使用指南：在isakmp两端设置的预共享密钥必须相同。如果使用了[mask]，那么这个预共享密钥就有可能不再仅仅供这两端使用。
    举例：为对端配置预共享密钥，并指定对端的ip地址和网络掩码。
    router#config
    router(config)#crypto isakmp key sharedkeystring address 10.1.127.1
    255.255.255.255
    5.3.2.5 crypto isakmp policy
    命令：crypto isakmp policy [priority]
    功能：创建一个ike策略，并进入ike策略配置模式。
    参数：[priority]为ike策略的优先级，取值范围为1 ~ 10000，数字越小优先级越高。
    缺省情况：系统缺省有一个ike策略，具有最低的优先级。在这个缺省的ike策略中，定义了各种缺省的参数值，情况如下表：
    
    任意数目的秒数
    命令模式：全局配置模式。
    使用指南：当创建了一个ike策略，而没有为某些ike策略参数定义新值时，这些ike策略参数取相应的缺省值。可以为参与ipsec的每一端定义多个ike策略。当参与ipsec的双方开始协商时，总是尽力找到双方共有的且优先级最高的ike策略。若想退出ike策略配置模式，用exit命令。
    举例：创建一个优先级为15的ike策略。
    router#config
    router(config)#crypto isakmp policy 15
    5.3.2.6 encryption
    命令：encryption {des|trides}
    no encryption
    功能：为一个ike策略选择加密算法；本命令的no操作为恢复缺省设置。
    参数：des指定使用数据加密标准；3des指定使用3倍数据加密标准。
    缺省情况：系统缺省设置的加密算法为des。
    命令模式：ike策略配置模式。
    使用指南：3des是一种加密强度比des高若干倍的数据加/解密标准。
    举例：创建一个优先级为15的ike策略，并为此策略选择3des加密算法。
    router#config
    router(config)#crypto isakmp policy 15
    router(config-isakmp)#encryption 3des
    5.3.2.7 group
    命令：group {1|2}
    no group
    功能：为一个ike策略选择dh组（一种密钥交换算法）；本命令的no操作为恢复缺省设置。
    参数：1指定一个模数为768的modp组（768-bit dh组）；2指定一个模数为1024的modp组（1024-bit dh组）。
    缺省情况：系统缺省选择的是group1。
    命令模式：ike策略配置模式。
    使用指南：选择group 2将会带来比group 1更高的安全性。
    举例：创建一个优先级为15的ike策略，并为此策略选择group2作为密钥交换算法。
    router#config
    router(config)#crypto isakmp policy 15
    router(config-isakmp)#group 2
    5.3.2.8 hash
    命令：hash {sha|md5}
    no hash
    功能：为一个ike策略选择哈希散列算法；本命令的no操作为恢复缺省设置。
    参数：sha指定sha-1(hmac变量)作为哈希散列算法；md5指定md5(hmac变量)作为哈希散列算法。
    缺省情况：系统缺省选择的哈希散列算法为sha。
    命令模式：ike策略配置模式。
    使用指南：sha可以提供比md5强度更高的验证。
    举例：创建一个优先级为15的ike策略，并为此策略选择md5作为哈希散列算法。
    router#config
    router(config)#crypto isakmp policy 15 router(config-isakmp)#hash md5
    功能：查看当前所有的ike安全联盟的参数。
    5.3.2.9 lifetime
    命令：lifetime [seconds]
    no lifetime
    功能：设置ike协商安全联盟的生存周期；本命令的no操作为恢复缺省设置。
    参数：[seconds]为ike协商安全联盟“计时”的生存周期，取值范围为60s ~ 86400s。
    缺省情况：系统缺省设置为86400s (即1天)。
    命令模式：ike策略配置模式。
    使用指南：如果ike协商安全联盟的两端设置的生存周期不相等，那么发起创建ike协商安全联盟一端的生存周期必须比对端的生存周期长，而且一旦ike协商sa建立起来后，采用的是较短的生存周期。
    举例：创建一个优先级为15的ike策略，并为此策略设置sa的生存周期为600秒。
    router#config
    router(config)#crypto isakmp policy 15
    router(config-isakmp)#lifetime 600
    5.3.2.10 show crypto isakmp sa
    命令：show crypto isakmp sa
    命令模式：特权用户模式。
    举例：
    router#show crypto isakmp sa
    dst src state conn-id
    100.1.1.2 100.1.1.1 qm_idle 0
    110.1.1.2 110.1.1.1 qm_idle 1
    10.1.127.1 10.1.127.10 qm_idle 8
    以下三个表列出并解释了在此命令中可能出现的状态。
    在主协商模式下的状态
    
    5.3.2.11 show crypto isakmp policy
    命令：show crypto isakmp policy
    功能：查看当前所有的ike安全策略的参数。
    命令模式：特权用户模式。
    举例：
    router#show crypto isakmp policy
    protection suite of priority 15
    encryption algorithm: three key triple des
    hash algorithm: message digest 5
    authentication method: pre-shared key
    diffie-hellman group: #1 (768 bit)
    lifetime: 300 seconds, no volume limit
    default protection suite
    encryption algorithm: des - data encryption standard (56 bit keys)
    hash algorithm: message digest 5
    authentication method: pre-shared key
    diffie-hellman group: #1 (768 bit)
    lifetime: 86400 seconds, no volume limit
    5.3.2.12 debug crypto isakmp
    命令：debug crypto isakmp
    no debug crypto isakmp
    功能：打开isakmp的调试开关；本命令的no操作为恢复缺省情况。
    缺省情况：系统缺省设置是没有打开isakmp的调试开关。
    命令模式：特权用户配置模式。
    举例：
    router#debug crypto isakmp