AUF DIESER SEITE
Konfigurieren eines IPsec-Vorschlags für einen ES PIC
Ein IPsec-Vorschlag listet Protokolle und Algorithmen (Sicherheitsdienste) auf, die mit dem Remote-IPsec-Peer ausgehandelt werden sollen.
Um einen IPsec-Vorschlag zu konfigurieren und seine Eigenschaften zu definieren, fügen Sie die folgenden Anweisungen auf Hierarchieebene [edit security ipsec] ein:
[edit security ipsec] proposal ipsec-proposal-name { authentication-algorithm (hmac-md5-96 | hmac-sha1-96); description description ; encryption-algorithm (3des-cbc | des-cbc); lifetime-seconds seconds; protocol (ah | esp | bundle); }
Zu den Aufgaben zum Konfigurieren eines IPsec-Vorschlags für einen ES PIC gehören:
Konfigurieren des Authentifizierungsalgorithmus für einen IPsec-Vorschlag
Um einen IPsec-Authentifizierungsalgorithmus zu konfigurieren, fügen Sie die authentication-algorithm Anweisung auf Hierarchieebene [edit security ipsec proposal ipsec-proposal-name] ein:
[edit security ipsec proposal ipsec-proposal-name] authentication-algorithm (hmac-md5-96 | hmac-sha1-96);
Der Authentifizierungsalgorithmus kann einer der folgenden sein:
hmac-md5-96– Hash-Algorithmus, der Paketdaten authentifiziert. Es erzeugt einen 128-Bit-Digest. Für die Authentifizierung werden nur 96 Bit verwendet.hmac-sha1-96– Hash-Algorithmus, der Paketdaten authentifiziert. Es erzeugt einen 160-Bit-Digest. Für die Authentifizierung werden nur 96 Bit verwendet.
Konfigurieren der Beschreibung für einen IPsec-Vorschlag
Um eine Beschreibung für einen IPsec-Vorschlag anzugeben, fügen Sie die description Anweisung auf Hierarchieebene [edit security ipsec proposal ipsec-proposal-name] ein:
[edit security ike policy ipsec-proposal-name] description description;
Konfigurieren des Verschlüsselungsalgorithmus für einen IPsec-Vorschlag
Um den IPsec-Verschlüsselungsalgorithmus zu konfigurieren, fügen Sie die encryption-algorithm Anweisung auf Hierarchieebene [edit security ipsec proposal ipsec-proposal-name] ein:
[edit security ipsec proposal ipsec-proposal-name ] encryption-algorithm (3des-cbc | des-cbc);
Der Verschlüsselungsalgorithmus kann einer der folgenden sein:
3des-cbc—Verschlüsselungsalgorithmus mit einer Blockgröße von 24 Byte; Seine Schlüssellänge beträgt 192 Bit.des-cbc– Verschlüsselungsalgorithmus mit einer Blockgröße von 8 Byte; Die Schlüsselgröße beträgt48 Bit lang.
Anmerkung:Es wird empfohlen, den 3DES-CBC-Verschlüsselungsalgorithmus (Triple DES Cipher Block Chaining) zu verwenden.
Konfigurieren der Lebensdauer für eine IPsec-Sicherheitszuordnung
Mit der Option IPsec-Lebensdauer wird die Lebensdauer einer IPsec-Sicherheitszuordnung festgelegt. Wenn die IPsec-Sicherheitszuordnung abläuft, wird sie durch eine neue Sicherheitszuordnung (und SPI) ersetzt oder beendet. Eine neue Sicherheitszuordnung verfügt über neue Authentifizierungs- und Verschlüsselungsschlüssel sowie SPI. Die Algorithmen können jedoch gleich bleiben, wenn der Vorschlag nicht geändert wird. Wenn Sie keine Lebensdauer konfigurieren und eine Lebensdauer nicht von einem Responder gesendet wird, beträgt die Lebensdauer 28.800 Sekunden.
Um die IPsec-Lebensdauer zu konfigurieren, schließen Sie die lifetime-seconds Anweisung ein, und geben Sie die Anzahl der Sekunden (180 bis 86.400) auf Hierarchieebene [edit security ipsec proposal ipsec-proposal-name] an:
[edit security ipsec proposal ipsec-proposal-name] lifetime-seconds seconds;
Wenn eine dynamische Sicherheitszuordnung erstellt wird, werden zwei Arten von Lebensdauern verwendet: hart und weich. Die harte Lebensdauer gibt die Lebensdauer der SA an. Die weiche Lebensdauer, die von der harten Lebensdauer abgeleitet wird, informiert das IPsec-Schlüsselverwaltungssystem darüber, dass die Sicherheitszuordnung bald abläuft. Auf diese Weise kann das Schlüsselverwaltungssystem eine neue SA aushandeln, bevor die harte Lebensdauer abläuft. Wenn Sie die Lebensdauer angeben, geben Sie eine feste Lebensdauer an.
Konfigurieren des Protokolls für eine dynamische IPsec-Sicherheitszuordnung
Die protocol Anweisung legt das Protokoll für eine dynamische Sicherheitszuordnung fest. Das ESP-Protokoll kann Authentifizierung, Verschlüsselung oder beides unterstützen. Für die starke Authentifizierung wird das AH-Protokoll verwendet. AH authentifiziert auch das IP-Paket. Die bundle Option verwendet AH-Authentifizierung und ESP-Verschlüsselung. Sie verwendet keine ESP-Authentifizierung, da AH eine stärkere Authentifizierung von IP-Paketen bietet.
Um das Protokoll für eine dynamische Sicherheitszuordnung zu konfigurieren, fügen Sie die protocol Anweisung auf Hierarchieebene [edit security ipsec proposal ipsec-proposal-name] ein:
[edit security ipsec proposal ipsec-proposal-name ] protocol (ah | esp | bundle);