Hướng Dẫn Cấu Hình Bảo Mật Cho VPN Với IPsec Trên Router Cisco

Posted on by son.bui@anbinhnet.com.vn

IPsec là một framework tiêu chuẩn mở do IETF phát triển. Nó cung cấp bảo mật cho việc truyền thông tin nhạy cảm qua các mạng không được bảo vệ như Internet. IPsec hoạt động ở network layer, bảo vệ và xác thực các gói IP giữa các thiết bị IPsec tham gia. Trong bài viết này, quản trị viên của ANBINHNET ™ sẽ gửi đến quý khách hàng hướng dẫn cấu hình bảo mật cho VPN với IPsec trên Router Cisco.

Hướng Dẫn Cấu Hình Bảo Mật Cho VPN Với IPsec Trên Router Cisco
Hướng Dẫn Cấu Hình Bảo Mật Cho VPN Với IPsec Trên Router Cisco

TẠO CRYPTO ACCESS LISTS TRÊN ROUTER CISCO

Dưới đây là các bước để tạo danh sách truy cập Crypto trên Router Cisco

  Lệnh hoặc Hành động Mục đích
Bước 1 enable

Ví dụ:

Device> enable

 

 Bật chế độ EXEC đặc quyền

  • Nhập mật khẩu của bạn nếu được nhắc

 
Bước 2 configure terminal

Ví dụ:

Device# configure terminal

 

 Vào chế độ cấu hình chung

 
Bước 3 Làm một điều trong số những điều sau:

  • access-list access-list-number {deny | permitprotocol source source-wildcard destination destination-wildcard [log]
  • ip access-list extended name

Ví dụ:

Device(config)# access-list 100 permit ip 10.0.68.0 0.0.0.255 10.1.1.0 0.0.0.255

Ví dụ:

Device(config)# ip access-list extended vpn-tunnel

 

 Chỉ định các điều kiện để xác định gói IP được bảo vệ

  • Bạn chỉ định các điều kiện bằng cách sử dụng danh sách truy cập IP được chỉ định bằng số hoặc tên. Lệnh access-list chỉ định một danh sách truy cập mở rộng được đánh số; lệnh ip access-list extended chỉ định một danh sách truy cập được đặt tên.
  • Bật hoặc tắt crypto cho lưu lượng truy cập phù hợp với các điều kiện này.
Tip    Cisco khuyên bạn nên cấu hình truy cập crypto “mirror image” bằng cách sử dụng IPsec và bạn tránh sử dụng từ khóa any.

 
Bước 4 Lặp lại bước 3 cho từng danh sách truy cập crypto mà bạn muốn tạo

 

CẤU HÌNH BỘ CHUYỂN ĐỔI CHO ĐỀ XUẤT IKEv1 VÀ IKEv2

Thực hiện tác vụ này để xác định một bộ chuyển đổi sẽ được sử dụng bởi các IPsec ngang hàng trong quá trình đàm phán liên kết bảo mật IPsec với các đề xuất IKEv1 và IKEv2.

Cấu Hình Bộ Chuyển Đổi Cho IKEv1

  Lệnh hoặc Hành động Mục đích
Bước 1 enable

Ví dụ:

Device> enable

 

 Bật chế độ đặc quyền EXEC

  • Nhập mật khẩu của bạn nếu được nhắc

 
Bước 2 configure terminal

Ví dụ:

Device# configure terminal

 

 Vào chế độ cấu hình chung

 
Bước 3 crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]

Ví dụ:

Device(config)# crypto ipsec transform-set aesset esp-aes 256 esp-sha-hmac

 

 Xác định một bộ biến đổi và vào chế độ cấu hình biến đổi crypto.

  • Có các quy tắc phức tạp xác định các mục nhập mà bạn có thể sử dụng cho các đối số biến đổi.

 
Bước 4 mode [tunnel | transport]

Ví dụ:

Device(cfg-crypto-tran)# mode transport

 

 (Tùy chọn) Thay đổi chế độ được liên kết với bộ biến đổi

  • Chế độ cài đặt chỉ áp dụng cho lưu lượng có địa chỉ nguồn và đích là địa chỉ IPsec ngang hàng, nó bị bỏ qua đối với tất cả lưu lượng truy cập khác. (Tất cả lưu lượng truy cập khác chỉ ở chế độ tunnel)

 
Bước 5 end

Ví dụ:

Device(cfg-crypto-tran)# end

 

 Thoát khỏi chế độ cấu hình crypto và chuyển sang chế độ đặc quyền EXEC

 
Bước 6 clear crypto sa [peer {ip-address | peer-name} | sa map map-name | sa entry destination-address protocol spi]

Ví dụ:

Device# clear crypto sa

 

 (Tùy chọn) Xóa các liên kết bảo mật IPsec hiện có để mọi thay đổi đối với bộ chuyển đổi có hiệu lực đối với các liên kết bảo mật được thiết lập sau đó.

SA được thiết lập thủ công sẽ được thiết lập lại ngay lập tức.

  • Sử dụng lệnh clear crypto sa không có tham số sẽ xóa toàn bộ cơ sở dữ liệu SA, giúp xóa các phiên bảo mật đang hoạt động.
  • Bạn cũng có thể chỉ định các từ khóa peer, map hoặc entry để xóa chỉ một tập hợp con của cơ sở dữ liệu SA.

 
Bước 7 show crypto ipsec transform-set [tag transform-set-name]

Ví dụ:

Device# show crypto ipsec transform-set

 

 (Tùy chọn) Hiển thị các bộ biến đổi đã định cấu hình

 

Cấu Hình Bộ Chuyển Đổi Cho IKEv2

  Lệnh hoặc Hành động Mục đích
Bước 1 enable

Ví dụ:

Device> enable

 

 Bật chế độ EXEC đặc quyền

  • Nhập mật khẩu của bạn nếu được nhắc
Bước 2 configure terminal

Ví dụ:

Device# configure terminal

 

 Vào chế độ cấu hình chung
Bước 3 crypto ikev2 proposal proposal-name

Ví dụ:

Device(config)# crypto ikev2 proposal proposal-1

 

 Chỉ định tên của đề xuất và vào chế độ cấu hình đề xuất crypto IKEv2.

  • Các đề xuất được giới thiệu trong chính sách IKEv2 thông qua tên đề xuất
Bước 4 encryption transform1 [transform2] …

Ví dụ:

Device(config-ikev2-proposal)# encryption aes-cbc-128

 

 (Tùy chọn) Chỉ định một hoặc nhiều biến đổi của loại mã hóa sau:

  • AES-CBC 128—128-bit AES-CBC
  • AES-CBC 192—192-bit AES-CBC
  • AES-CBC 256—256-bit AES-CBC
  • 3DES—168-bit DE (Không được khuyến nghị)
Bước 5 integrity transform1 [transform2] …

Ví dụ:

Device(config-ikev2-proposal)# integrity sha1

 

 (Tùy chọn) Chỉ định một hoặc nhiều biến đổi của các loại tính toàn vẹn sau:

  • Từ khóa sha256 chỉ định SHA-2 family 256-bit (biến thể HMAC) làm thuật toán hash.
  • Từ khóa sha384 chỉ định SHA-2 family 384-bit (biến thể HMAC) làm thuật toán hash.
  • Từ khóa sha512 chỉ định SHA-2 family 512-bit (biến thể HMAC) làm thuật toán hash.
  • Từ khóa sha1 chỉ định SHA-1 (biến thể HMAC) làm thuật toán hash.
  • Từ khóa md5 chỉ định MD5 (biến thể HMAC) làm thuật toán hash (không được khuyến nghị)
Bước 6 group transform1 [transform2] …

Ví dụ:

Device(config-ikev2-proposal)# group 14

 

 (Tùy chọn) Chỉ định một hoặc nhiều biến đổi của loại nhóm DH có thể có.

  • 1—768-bit DH (Không còn được khuyến nghị)
  • 2—1024-bit DH (Không còn được khuyến nghị)
  • 5—1536-bit DH (Không còn được khuyến nghị)
  • 14—Chỉ định group DH 2048-bit
  • 15—Chỉ định group DH 3072-bit
  • 16—Chỉ định group DH 4096-bit
  • 19—Chỉ định group elliptic curve DH (ECDH) 256-bit
  • 20—Chỉ định group elliptic curve DH (ECDH) 384-bit
  • 24—Chỉ định group DH/DSA 2048-bit
Bước 7 end

Ví dụ:

Device(config-ikev2-proposal)# end

 

 Thoát khỏi chế độ cấu hình crypto đề xuất IKEv2 và quay lại chế độ EXEC đặc quyền.
Bước 8 show crypto ikev2 proposal

Ví dụ:

Device# show crypto ikev2 proposal

 

 (Tùy chọn) Hiển thị các tham số cho từng đề xuất IKEv2.

 

TẠO CRYPTO MAP SETS TRÊN ROUTER CISCO

Tạo Static Crypto Maps Trên Router Cisco

Khi IKE được sử dụng để thiết lập SA, các IPsec ngang hàng có thể thương lượng các cài đặt mà chúng sử dụng cho các liên kết bảo mật mới. Điều này có nghĩa là bạn có thể chỉ định danh sách (chẳng hạn như danh sách các biến đổi được chấp nhận) trong mục nhập crypto map.

Thực hiện tác vụ này để tạo các mục crypto map sử dụng IKE để thiết lập SA. Để tạo các mục crypto map IPv6, bạn phải sử dụng từ khóa ipv6 với lệnh crypto map. Đối với IPv4 crypto map, hãy sử dụng lệnh crypto map mà không cần từ khóa ipv6.

  Lệnh hoặc Hành động Mục đích
Bước 1 enable

Ví dụ:

Device> enable

 

 Bật chế độ EXEC đặc quyền

  • Nhập mật khẩu của bạn nếu được nhắc

 
Bước 2 configure terminal

Ví dụ:

Device# configure terminal

 

 Vào chế độ cấu hình chung

 
Bước 3 crypto map [ipv6map-name seq-num [ipsec-isakmp]

Ví dụ:

Device(config)# crypto map static-map 1 ipsec-isakmp

 

 Tạo hoặc sửa đổi mục crypto map, và vào chế độ cấu hình crypto map.

  • Với IPv4 crypto maps, hãy sử dụng lệnh không có từ khóa ipv6

 
Bước 4 match address access-list-id

Ví dụ:

Device(config-crypto-m)# match address vpn-tunnel

 

 Đặt tên cho một danh sách truy cập mở rộng

  • Danh sách truy cập này xác định lưu lượng cần được bảo vệ bởi IPsec và lưu lượng không được bảo vệ bởi bảo mật IPsec trong ngữ cảnh của mục nhập crypto map này.
Bước 5 set peer {hostname | ip-address}

Ví dụ:

Device(config-crypto-m)# set-peer 192.168.101.1

 

 Chỉ định một remote IPsec ngang hàng—mà lưu lượng được bảo vệ bởi IPsec có thể được chuyển tiếp.

  • Lặp lại cho multiple remote ngang hàng
Bước 6 crypto ipsec security-association dummy {pps rate | seconds seconds}

Ví dụ:

Device(config-crypto-m)# set security-association dummy seconds 5

 

 Cho phép tạo các gói giả. Các gói giả này được tạo cho tất cả các luồng được tạo trong crypto map.

 
Bước 7 set transform-set transform-set-name1 [transform-set-name2…transform-set-name6]

Ví dụ:

Device(config-crypto-m)# set transform-set aesset

 

 Chỉ định các bộ biến đổi được phép cho mục nhập crypto map này.

  • Liệt kê nhiều bộ biến đổi theo thứ tự ưu tiên (ưu tiên cao nhất trước).
Bước 8 set security-association lifetime {seconds seconds | kilobytes kilobytes | kilobytes disable}

Ví dụ:

Device (config-crypto-m)# set security-association lifetime seconds 2700

 

 (Tùy chọn) Chỉ định thời gian tồn tại SA cho mục nhập crypto map

  • Theo mặc định, các SA của crypto map được thương lượng theo thời gian tồn tại trên toàn hệ thống, có thể bị vô hiệu hóa.
Bước 9 set security-association level per-host

Ví dụ:

Device(config-crypto-m)# set security-association level per-host

 

 (Tùy chọn) Chỉ định rằng các SA riêng biệt phải được thiết lập cho từng cặp máy chủ nguồn và đích.

  • Theo mặc định, một IPsec “tunnel” duy nhất có thể mang lưu lượng cho nhiều máy chủ nguồn và nhiều máy chủ đích.
Chú ý    Hãy cẩn thận khi sử dụng lệnh này vì nhiều luồng giữa các mạng con nhất định có thể nhanh chóng tiêu tốn tài nguyên.

 
Bước 10 set pfs [group1 | group14 | group15 | group16 | group19 | group2 | group20 | group24 | group5]

Ví dụ:

Device(config-crypto-m)# set pfs group14

 

 (Tùy chọn) Chỉ định rằng IPsec sẽ yêu cầu password forward secrecy (PFS) khi yêu cầu SA mới cho mục nhập crypto map này hoặc nên yêu cầu PFS trong các yêu cầu nhận được từ IPsec ngang hàng.

  • Group 1 chỉ định mã định danh mặc định 768-bit Diffie-Hellman (DH) (Không còn được khuyến nghị)
  • Group 2 chỉ định mã định danh 1021-bit DH (Không còn được khuyến nghị)
  • Group 5 chỉ định mã định danh 1536-bit DH (Không còn được khuyến nghị)
  • Group 14 chỉ định mã định danh 2048-bit DH
  • Group 15 chỉ định mã định danh 3072-bit DH
  • Group 16 chỉ định mã định danh 4096-bit DH
  • Group 19 chỉ định mã định danh 256-bit elliptic curve DH (ECDH)
  • Group 20 chỉ định mã định danh 384-bit ECDH
  • Group 24 chỉ định mã định danh 2048-bit DH/DSA
  • Theo mặc định, PFS không được yêu cầu. Nếu không có nhóm nào được chỉ định bằng lệnh này, thì Group 1 được sử dụng làm mặc định.
Bước 11 end

Ví dụ:

Device(config-crypto-m)# end

 

 Thoát khỏi chế độ cấu hình crypto map và quay lại chế độ đặc quyền EXEC.

 
Bước 12 show crypto map [interface interface | tag map-name]

Ví dụ:

Device# show crypto map

 

 Hiển thị cấu hình crypto map.

 

Tạo Dynamic Crypto Maps Trên Router Cisco

Các mục nhập dynamic crypto map chỉ định danh sách truy cập crypto giới hạn lưu lượng truy cập mà IPsec SA có thể được thiết lập. Mục nhập dynamic crypto map không chỉ định danh sách truy cập sẽ bị bỏ qua trong quá trình lọc lưu lượng truy cập. Mục nhập dynamic crypto map với danh sách truy cập trống sẽ khiến lưu lượng truy cập bị giảm. Nếu chỉ có một mục nhập dynamic crypto map trong crypto map set, thì nó phải chỉ định các bộ biến đổi được chấp nhận.

  Lệnh hoặc Hành động Mục đích
Bước 1 enable

Ví dụ:

Device> enable

 

 Bật chế độ đặc quyền EXEC

  • Nhập mật khẩu của bạn nếu được nhắc

 
Bước 2 configure terminal

Ví dụ:

Device# configure terminal

 

 Vào chế độ cấu hình chung

 
Bước 3 crypto dynamic-map dynamic-map-name dynamic-seq-num

Ví dụ:

Device(config)# crypto dynamic-map test-map 1

 

 Tạo mục nhập dynamic crypto map và vào chế độ cấu hình crypto map

 
Bước 4 set transform-set transform-set-name1 [transform-set-name2…transform-set-name6]

Ví dụ:

Device(config-crypto-m)# set transform-set aesset

 

 Chỉ định các bộ biến đổi được phép cho mục nhập crypto map.

  • Liệt kê nhiều bộ biến đổi theo thứ tự ưu tiên (ưu tiên cao nhất trước). Đây là câu lệnh cấu hình duy nhất được yêu cầu trong các mục nhập dynamic crypto map
Bước 5 match address access-list-id

Ví dụ:

Device(config-crypto-m)# match address 101

 

 (Tùy chọn) Chỉ định số danh sách hoặc tên của danh sách truy cập mở rộng.

  • Danh sách truy cập này xác định lưu lượng nào sẽ được bảo vệ bởi IPsec và lưu lượng nào không được bảo vệ bởi bảo mật IPsec trong ngữ cảnh của mục nhập crypto map này.
Note    Mặc dù danh sách truy cập là optional cho dynamic crypto maps, nhưng chúng rất được khuyến khích
  • Nếu một danh sách truy cập được định cấu hình, thì data flow được được đề xuất bởi IPsec ngang hàng phải nằm trong một tuyên bố permit đối với danh sách truy cập crypto này.
  • Nếu một danh sách truy cập không được cấu hình, thiết bị sẽ chấp nhận bất kỳ nhận dạng luồng dữ liệu nào được đề xuất bởi IPsec ngang hàng. Tuy nhiên, nếu danh sách truy cập được định cấu hình nhưng danh sách truy cập được chỉ định không tồn tại hoặc trống, thiết bị sẽ loại bỏ tất cả các gói, điều này tương tự như static crypto map, yêu cầu phải chỉ định danh sách truy cập.
  • Phải cẩn thận nếu từ khóa any được sử dụng trong danh sách truy cập, bởi vì danh sách truy cập được sử dụng để lọc gói cũng như đàm phán
  • Bạn phải cấu hình địa chỉ khớp, nếu không, hành vi này không an toàn và bạn không thể bật TED vì các gói được gửi dưới dạng rõ ràng (không được mã hóa.)
Bước 6 set peer {hostname | ip-address}

Ví dụ:

Device(config-crypto-m)# set peer 192.168.101.1

 

 (Tùy chọn) Chỉ định một remote IPsec ngang hàng. Lặp lại bước này cho nhiều remote peers.

Note    Điều này hiếm khi được cấu hình trong mục dynamic crypto map. Các mục nhập Dynamic crypto map thường được sử dụng cho remote peers không xác định.

 
Bước 7 set security-association lifetime {seconds seconds | kilobytes kilobytes | kilobytes disable}

Ví dụ:

Device(config-crypto-m)# set security-association lifetime seconds 7200

 

 (Tùy chọn) Ghi đè (đối với mục nhập crypto map entry) giá trị global lifetime, được sử dụng khi đàm phán IP Security SAs.

Note    Để giảm thiểu khả năng mất gói khi nhập khóa lại trong môi trường băng thông cao, bạn có thể tắt yêu cầu nhập lại khóa được kích hoạt khi hết thời gian tồn tại của ổ đĩa.

 
Bước 8 set pfs [group1 | group14 | group15 | group16 | group19 | group2 | group20 | group24 group5]

Ví dụ:

Device(config-crypto-m)# set pfs group14

 

 (Tùy chọn) Chỉ định rằng IPsec should sẽ yêu cầu PFS khi yêu cầu các liên kết bảo mật mới cho mục nhập crypto map hoặc nên yêu cầu PFS trong các yêu cầu nhận được từ IPsec ngang hàng.

  • Group 1 chỉ định mã định danh mặc định 768-bit Diffie-Hellman (DH) (Không được khuyến nghị)
  • Group 2 chỉ định mã định danh 1024-bit DH (Không được khuyến nghị)
  • Group 5 chỉ định mã định danh 1536-bit DH (Không được khuyến nghị)
  • Group 14 chỉ định mã định danh 2048-bit DH
  • Group 15 chỉ định mã định danh 3072-bit DH
  • Group 16 chỉ định mã định danh 4096-bit DH
  • Group 19 chỉ định mã định danh 256-bit elliptic curve DH (ECDH)
  • Group 20 chỉ định mã định danh 384-bit ECDH
  • Group 24 chỉ định mã định danh 2048-bit DH/DSA
  • Theo mặc định, PFS không được yêu cầu. Nếu không có nhóm nào được chỉ định với lệnh này, thì group1 được sử dụng làm mặc định.
Bước 9 exit

Ví dụ:

Device(config-crypto-m)# exit

 

 Thoát khỏi chế độ cấu hình crypto map và quay lại chế độ cấu hình chung.

 
Bước 10 exit

Ví dụ:

Device(config)# exit

 

 Thoát khỏi chế độ cấu hình chung

 
Bước 11 show crypto dynamic-map [tag map-name]

Ví dụ:

Device# show crypto dynamic-map

 

 (Tùy chọn) Hiển thị thông tin về dynamic crypto maps.

 
Bước 12 configure terminal

Ví dụ:

Device# configure terminal

 

 Vào chế độ cấu hình chung

 
Bước 13 crypto map map-name seq-num ipsec-isakmp dynamic dynamic-map-name [discover]

Ví dụ:

Device(config)# crypto map static-map 1 ipsec-isakmp dynamic test-map discover

 

 (Tùy chọn) Thêm dynamic crypto map vào crypto map set.

  • Bạn nên đặt mục crypto map tham chiếu dynamic map thành các mục có mức độ ưu tiên thấp nhất trong crypto map set
Note    Bạn phải nhập từ khóa discover để kích hoạt TED.

 
Bước 14 exit

Ví dụ:

Device(config)# exit

 

 Thoát khỏi chế độ cấu hình chung

 

Tạo Các Mục Nhập Crypto Map Để Thiết Lập SA Thủ Công Trên Router Cisco

Thực hiện tác vụ này để tạo các mục nhập crypto map nhằm thiết lập SA thủ công (nghĩa là khi IKE không được sử dụng để thiết lập SA). Để tạo các mục crypto map IPv6, bạn phải sử dụng từ khóa ipv6 với lệnh crypto map. Đối với crypto map IPv4, hãy sử dụng lệnh crypto map mà không cần từ khóa ipv6.

  Lệnh hoặc Hành động Mục đích
Bước 1 enable

Ví dụ:

Device> enable

 

 Bật chế độ đặc quyền EXEC

  • Nhập mật khẩu của bạn nếu được nhắc

 
Bước 2 configure terminal

Ví dụ:

Device# configure terminal

 

 Vào chế độ cấu hình chung

 
Bước 3 crypto map [ipv6map-name seq-num [ipsec-manual]

Ví dụ:

Device(config)# crypto map mymap 10 ipsec-manual

 

 Chỉ định mục nhập crypto map sẽ được tạo hoặc sửa đổi và vào chế độ cấu hình crypto map.

  • Đối với crypto map IPv4, sử dụng lệnh crypto map mà không cần từ khóa ipv6
Bước 4 match address access-list-id

Ví dụ:

Device(config-crypto-m)# match address 102

 

 Đặt tên cho danh sách truy cập IPsec xác định lưu lượng nào sẽ được bảo vệ bởi IPsec và lưu lượng nào không được bảo vệ bởi IPsec trong ngữ cảnh của mục nhập crypto map này.

  • Danh sách truy cập chỉ có thể chỉ định một mục nhập permit khi IKE không được sử dụng

 
Bước 5 set peer {hostname | ip-address}

Ví dụ:

Device(config-crypto-m)# set peer 10.0.0.5

 

 Chỉ định IPsec ngang hàng từ xa. Đây là mạng ngang hàng mà lưu lượng được bảo vệ bằng IPsec sẽ được chuyển tiếp.

  • Chỉ có một peer có thể được chỉ định khi IKE không được sử dụng.
Bước 6 set transform-set transform-set-name

Ví dụ:

Device(config-crypto-m)# set transform-set someset

 

 Chỉ định bộ biến đổi nào sẽ được sử dụng.

  • Đây phải là cùng một bộ biến đổi được chỉ định trong mục nhập remote peer’s corresponding crypto map
Note    Chỉ có thể chỉ định một bộ biến đổi không sử dụng IKE

 
Bước 7 Thực hiện một trong các lệnh sau:

·        set session-key inbound ah spi hex-key-string

·        set session-key outbound ah spi hex-key-string

Ví dụ:

Device(config-crypto-m)# set session-key inbound ah 256 98765432109876549876543210987654

Ví dụ:

Device(config-crypto-m)# set session-key outbound ah 256 fedcbafedcbafedcfedcbafedcbafedc

 

 Đặt chỉ mục tham số bảo mật AH (SPI) và các khóa để áp dụng cho lưu lượng truy cập được bảo vệ vào và ra nếu bộ biến đổi được chỉ định bao gồm giao thức AH.

  • Điều này chỉ định thủ công liên kết bảo mật AH sẽ được sử dụng với lưu lượng được bảo vệ.

 
Bước 8 Thực hiện một trong các lệnh sau:

·        set session-key inbound esp spi cipher hex-key-string [authenticator hex-key-string]

·        set session-key outbound esp spi cipher hex-key-string [authenticator hex-key-string]

Ví dụ:

Device(config-crypto-m)# set session-key inbound esp 256 cipher 0123456789012345

Ví dụ:

Device(config-crypto-m)# set session-key outbound esp 256 cipher abcdefabcdefabcd

 

 Đặt Encapsulating Security Payload (ESP) Security Parameter Indexes (SPI) và các key để áp dụng cho lưu lượng truy cập được bảo vệ vào và ra nếu bộ biến đổi được chỉ định bao gồm giao thức ESP.

Hoặc

Chỉ định các khóa mật mã nếu bộ biến đổi bao gồm thuật toán mật mã ESP. Chỉ định các khóa xác thực nếu bộ biến đổi bao gồm thuật toán xác thực ESP.

  • Điều này chỉ định thủ công liên kết bảo mật ESP sẽ được sử dụng với lưu lượng được bảo vệ.

 
Bước 9 exit

Ví dụ:

Device(config-crypto-m)# exit

 

 Thoát khỏi chế độ cấu hình crypto map và quay lại chế độ cấu hình chung.

 
Bước 10 exit

Ví dụ:

Device(config)# exit

 

 Thoát khỏi chế độ cấu hình chung

 
Bước 11 show crypto map [interface interface | tag map-name]

Ví dụ:

Device# show crypto map

 

 Hiển thị cấu hình crypto map của bạn.

 

Áp Dụng Crypto Map Cho Giao Diện Trên Router Cisco

Bạn phải áp dụng một bộ crypto map cho từng giao diện mà lưu lượng IPsec chảy qua. Việc áp dụng bộ crypto mapcho một giao diện sẽ hướng dẫn thiết bị đánh giá lưu lượng truy cập của giao diện dựa trên bộ crypto map và sử dụng chính sách đã chỉ định trong quá trình kết nối hoặc đàm phán liên kết bảo mật thay mặt cho lưu lượng truy cập được crypto map bảo vệ.

Thực hiện tác vụ này để áp dụng crypto map cho một giao diện.

  Lệnh hoặc Hành động Mục đích
Bước 1 enable

Ví dụ:

Device> enable

 

 Bật chế độ EXEC đặc quyền

  • Nhập mật khẩu của bạn nếu được nhắc

 
Bước 2 configure terminal

Ví dụ:

Device# configure terminal

 

 Vào chế độ cấu hình chung

 
Bước 3 interface type/number

Ví dụ:

Device(config)# interface FastEthernet 0/0

 

 Cấu hình giao diện và vào chế độ cấu hình giao diện

 
Bước 4 crypto map map-name

Ví dụ:

Device(config-if)# crypto map mymap

 

 Áp dụng crypto map cho một giao diện

 
Bước 5 exit

Ví dụ:

Device(config-if)# exit

 

 Thoát khỏi chế độ cấu hình giao diện và quay lại chế độ cấu hình chung

 
Bước 6 crypto map map-name local-address interface-id

Ví dụ:

Device(config)# crypto map mymap local-address loopback0

 

 (Tùy chọn) Cho phép các giao diện dự phòng chia sẻ cùng một crypto map bằng cách sử dụng cùng một danh tính cục bộ.

 
Bước 7 exit

Ví dụ:

Device(config)# exit

 

 (Tùy chọn) Thoát khỏi chế độ cấu hình chung.

 
Bước 8 show crypto map [interface interface]

Ví dụ:

Device# show crypto map

 

 (Tùy chọn) Hiển thị cấu hình crypto map của bạn

 

ĐỊA CHỈ PHÂN PHỐI ROUTER CISCO CHÍNH HÃNG GIÁ TỐT NHẤT

ANBINHNET ™ là nhà phân phối Cisco chính hãng, uy tín hàng đầu tại Việt Nam. Đến với chúng tôi, quý khách hàng sẽ nhận được những thông tin chính xác về nguồn gốc xuất xứ, giấy tờ, chứng chỉ, với mức giá Discount theo quy định của Cisco, đặc biệt hơn là hàng luôn sẵn kho số lượng lớn để đáp ứng nhu cầu của khách hàng.

ANBINHNET ™ có văn phòng giao dịch tại 2 thành phố lớn nhất là Hà Nội và Hồ Chí Minh (Sài Gòn), giúp mang lại sự thuận tiện cho khách hàng có nhu cầu mua thiết bị Router Cisco Chính Hãng có thể đến trực tiếp văn phòng của chúng tôi, cũng như rút ngắn thời gian giao hàng các sản phẩm Cisco Router Giá Tốt đến với khách hàng.

Để Nhận Thông Tin Hỗ Trợ Báo Giá Dự Án, Đặt Hàng, Giao Hàng, Bảo Hành, Khuyến Mại, Hỗ Trợ Kỹ Thuật của các sản phẩm Router CiscoHãy Chát Ngay với chúng tôi ở khung bên dưới hoặc gọi điện tới số hotline hỗ trợ 24/7 của ANBINHNET ™. Hoặc quý khách có thể liên hệ tới văn phòng của chúng tôi tại theo thông tin sau:

Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Hà Nội

Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Sài Gòn

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

HOTLINE 24/7: 098.234.5005 - 0967.40.70.80