1张图+6个点—轻松把握ipsec的关键配置和运作流程

颁布功夫：2024-06-12

点击量：296

关于ipsec的配置和流程以下总结一张ipsec极度经典的图，通过这个图不仅能够理解ipsec的运作过程，还能把握ipsec的主题配置。

如下图，可能看起来稍微复杂，能够顺着下文的思路，一步步来理解，当路由器收到一个报文后，是若何发展ispec运作的，以及有哪些主题关键配置点。
iSlot官方网站 - 引领潮水

第1步：当路由器收到源地址是1.1.1.1发往指标地址2.2.2.2的数据包后，首先查找路由表，看看2.2.2.2 会从F0/0接口发出（关键点配置1：要有指标地址的路由，路由是基础没路由就不成以）

第2步：当数据包从F0/0发出时，忽然发现F0/0口有挪用ipsec的map配置，所以路由器顿时会进行ipsec匹配，看看这个数据流是否要进行ipsec加密（关键点配置2：接口要挪用ipsec map图，不然都激活不了ipsec职能）

第3步：若何进行ipsec匹配呢？重要就是匹配这个数据包的源ip和指标ip是否在ipsec的感兴致流中，通过查看，确切实其感兴致流access-list 100中（关键点配置3：感兴致流ACL要配置正确，不然会射中不了，也会逃脱ispec的加密）

第4步：当在射中了感兴致流后，这时辰就激活了ipsec职能，因而这时辰ipsec？榫推鹜凡槌欠翊嬖诘2阶段ispec sa了。若是存在，就直接加密转发数据了。若是不存在第2阶段ispec sa ，那么就要进行第5步了（关键点配置4：ipsec第2阶段transform-set的正确配置）

第5步：当不存在第2阶段时，因而那么必必要起头成立ipsec第1阶段，第1阶段重要就是policy参数的协商，还有密钥isakmp key的配置了（关键点配置5：第1阶段policy和key的配置）

第6步：当第1阶段和第2阶段参数都配置好了后，那么和谁成立ipsec呢，因而就要配置ipsec的map了，map的重要参数就是确定对等体peer，挪用第2阶段transform-set 和acl感兴致流了（关键点配置6：map的配置：peer，transform-set挪用、acl挪用）
第7步：当实现了第1阶段的参数配置和map的界说后并在接口下挪用map，ipsec的第1阶段就成立实现了。第1阶段实现后，随之而来，ipsec的第2阶段也就实现了。数据也能够正常加密了。