1. Cấu hình ISAKMP/IKE phase 1 Ở bước này ta quy định các thông số bảo mật của ISAKMP SA gồm:
- Phương pháp chứng thực
- Thuật toán hash
- Thuật toán mã hóa
- Số nhóm khóa Diffie-Hellman (version của Diffie-Hellman)
Trên router SAIGON:
SAIGON(config)#crypto isakmp policy 10
SAIGON(config- isakmp)#hash md5 // thuật toán hash
SAIGON(config- isakmp)#encryption des // thuật toán mã hoá
SAIGON(config- isakmp)#group 2 // số nhóm (version) Diffie- Hellman
SAIGON(config- isakmp)#authentication pre- share // Phương thức chứng thực
SAIGON(config)#crypto isakmp key 0 VPN123 address 151.1.1.1 // Xác định thông tin key và peer
Cấu hình IKE polosy trên Router SAIGON
Trên router VUNGTAU:
VUNGTAU(config)#crypto isakmp policy 10
VUNGTAU(config- isakmp)#hash md5
VUNGTAU(config- isakmp)#encryption des
VUNGTAU(config- isakmp)#group 2
VUNGTAU(config- isakmp)#authentication pre- share
VUNGTAU(config)#crypto isakmp key 0 VPN123 address 150.1.1.1
Cấu hình IKE policy trên Router VUNGTAU
2. Cấu hình chính sách IPSec (IKE phase 2) Thiết lập IPSec SA dựa trên những thông số của phase 1
SAIGON(config)#crypto ipsec transform- set MYSET esp- md5- hmac esp- des //chọn giao thức ESP để đóng gói dữ liệu
SAIGON(config)#crypto ipsec security- association lifetime seconds 1800 //thời gian tồn tại của IPSec SA
VUNGTAU(config)#crypto ipsec transform- set MYSET esp- md5- hmac esp- des
VUNGTAU(config)#crypto ipsec security- association lifetime seconds 1800
Nguyễn Văn Vượng, Lê Hải Dương, Phạm Phú Quý – VnPro
