IPSec Crypto Map "封包保護機制腳本" 設定說明, 延伸自 "Site-to-site IPSec VPN 設定範例"

本文延伸自前篇文章, "Site-to-site IPSec VPN 設定範例".

2. 定義 "封包保護機制腳本" (IPSec Crypto Map)

腳本當中, 就是定義以下三個問題的場景組合:

1. 哪些封包需要作保護?
2. 要安全地送達的目的地(另外一端的閘道器)在哪裡?
3. 如何保護?

一個腳本, 可以定義多組場景. 每一個封包, 會依照腳本場景序號 (本例子就是只定義第 1000 號場景), 依序往下檢查. 符合某一個場景(符合問題1), 就按照 (2) 和 (3) 的指示作保護處理, 然後離開腳本. 如果所有場景都不符合, 就不作 IPSec 保護.

哪些封包需要作保護?

IOS需要大家定義 ACL 來指明哪些封包要作以下保護. 也就是說, ACL 篩選結果是 "permit" 的話, 就要保護; 反之就檢查下一個場景.

access-list 100 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
crypto map PT-IPSEC 1000 ipsec-isakmp 
.....
 match address 100

要安全地送達的目的地(另外一端的閘道器)在哪裡?

直接指明目的地閘道器的 IP 位址即可.
set peer 172.16.2.1

如何保護?

當然, 最重要的就是指明 "封包保護套餐", 因此以下命令是必要的:

set transform-set MOSTSECURE 

其他的是可調整參數. 非必要的.

set pfs group5
set security-association lifetime seconds 120

其中, set pfs 命令是指明 Diffie-Hellman group, 數字越大保護力越強, 但是閘道器負擔越大. 本例子中指明 "group 5".

set security-association lifetime 是指明 "封包保護套餐" 的有效生命值. 本例子中指明 120 秒的有效生命值, 簡單地說, 也就是每 120 秒就要重新產生一次新的金鑰.