CCIE安全学习笔记（二）

RouterA
crypto isakmp policy 100
crypto isakmp key seckey address 216.12.12.2
!
!
crypto ipsec transform-set 4sec esp-des esp-sha-hmac
!
crypto map 4sec 100 ipsec-isakmp  
 set peer 216.12.12.2
 set transform-set 4sec
 set pfs group1
 match address 100
!
interface Serial0/0
 ip address 216.12.12.1 255.255.255.252
 crypto map 4sec
!
access-list 100 permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255
!
-----------------------------------------------------------------------

RouterB
crypto isakmp policy 100
crypto isakmp key seckey address 216.12.12.1
!
!
crypto ipsec transform-set 4sec esp-des esp-sha-hmac
!
crypto map 4sec 100 ipsec-isakmp  
 set peer 216.12.12.1
 set transform-set 4sec
 set pfs group1
 match address 100
!
interface Serial0/0
 ip address 216.12.12.2 255.255.255.252
 crypto map 4sec
!
access-list 100 permit ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255
!

分析：
由于此处没有设置ISAKMP的选项，所以会用默认值。
ISAKMP的默认值是：
加密法则：DES 56bit
Hash法则：SHS
鉴别方法：RSAS
Diffe-Hellman组：＃1 （768bit）
生命期限：86400秒

ISAKMP的各种设定值有：
加密法则：DES（56bit）和3DES（168bit）
Hash法则：md5 和 sha
鉴别方法：pre-share, rsa-encr, rsa-sig
Diffie-Hellman组：Diffie-Hellman group 1(768bit) 和Diffie-Hellman group 1(1024bit)
生命期限：60～86400秒