执行此任务以配置IKEv2配置文件的强制命令。
IKEv2配置文件是IKE安全关联(SA)的不可协商参数(例如本地或远程身份和身份验证方法)以及可用于与配置文件匹配的已验证对等方的服务的存储库。必须配置IKEv2配置文件,并将其与IKEv1启动器上的加密映射或IPsec配置文件关联。使用设置ikev2-profile
配置文件名称命令将配置文件与加密映射或IPsec配置文件关联。要解除配置文件的关联,请使用不命令的形式。
以下规则适用于匹配语句:
- IKEv2配置文件必须包含匹配标识或匹配证书语句;否则,配置文件被认为是不完整的,不会被使用。IKEv2配置文件可以有多个匹配标识或匹配证书语句。
- IKEv2配置文件必须具有单个匹配的前门VPN路由和转发(FVRF)语句。
- 选择配置文件时,同一类型的多个匹配语句将进行逻辑“或”运算,不同类型的多条匹配语句将执行逻辑“与”运算。
- 匹配标识和匹配证书语句被认为是相同类型的语句,并且是ORed语句。
- 重叠外形的配置被视为配置错误。在多个配置文件匹配的情况下,不会选择任何配置文件。
使用显示加密ikev2配置文件
配置文件名称命令以显示IKEv2配置文件。
| | 命令或操作 | 目的 |
|---|
第1步 | |
启用特权EXEC模式。
|
第2步 | |
进入全局配置模式。 |
步骤3 |
加密ikev2配置文件
配置文件名称
例子:
设备(配置)#crypto ikev2配置文件配置文件1 |
定义IKEv2配置文件并进入IKEv1配置文件配置模式。 |
第4步 |
描述
描述行
例子:
设备(config-ikev2-profile)#description这是一个ikev2配置文件 |
(可选)描述配置文件。 |
第5步 |
原子吸收光谱
会计{普斯卡|证书|eap公司}列表-名称
例子:
设备(config-ikev2-profile)#aaa记帐eap列表1 |
(可选)为IPsec会话启用身份验证、授权和记帐(AAA)记帐方法列表。
| 注释 | 如果普斯卡,证书,或
eap公司未指定关键字,则使用AAA记帐方法列表,而不考虑对等身份验证方法。 |
|
第6步 |
身份验证{地方的{rsa-sig|预共享|ecdsa-sig|eap公司} |遥远的{eap公司[查询标识|超时
秒] |rsa-sig|预共享|ecdsa-sig}}
例子:
设备(config-ikev2-profile)#身份验证本地ecdsa-sig |
指定本地或远程身份验证方法。
| 注释 | 您只能指定一种本地身份验证方法,但可以指定多个远程身份验证方法。 |
|
步骤7 |
dpd(动态预测数据)
间隔
重试间隔{按需|周期性的}
例子:
设备(config-ikev2-profile)#dpd 1000 250定期 |
(可选)全局配置与配置文件匹配的对等方的死对等检测(DPD)。
|
第8步 |
身份
地方的
{地址
{ipv4地址|ipv6地址} |dn(数字网络)|电子邮件
电子邮件字符串|fqdn公司
fqdn存储|
钥匙id
不透明密封} 例子:
设备(config-ikev2-profile)#标识本地电子邮件abc@example.com |
(可选)指定本地IKEv2标识类型。
| 注释 | 如果本地身份验证方法是预共享密钥,则默认的本地标识是IP地址。如果本地身份验证方法是Rivest、Shamir和Adleman(RSA)签名,则默认的本地标识是Distinguished Name。 |
|
第9步 | 初始控制[力]
例子:
设备(config-ikev2-profile)#初始控制力 |
如果在IKE_AUTH交换中未收到初始联系人通知,则强制执行初始联系人处理。 |
步骤10 |
静脉射频
名称
例子:
设备(config-ikev2-profile)#ivrf vrf1 |
(可选)如果IKEv2配置文件附加到加密映射,则指定用户定义的VPN路由和转发(VRF)或全局VRF。
- 如果IKEv2配置文件用于隧道保护,则应在隧道接口上配置隧道接口的内部VRF(IVRF)。
| 注释 | IVRF指定明文数据包的VRF。IVRF的默认值为FVRF。 |
|
第11步 |
钥匙圈{地方的
钥匙圈名称|原子吸收光谱
列表-名称
姓名调查员
马槽名称}
例子:
设备(config-ikev2-profile)#keyring aaa-keyring1 name-mangler mangler1 |
指定必须与本地和远程预共享密钥身份验证方法一起使用的本地或基于AAA的密钥环。
| 注释 | 只能指定一个密钥环。基于AAA的预共享密钥不支持本地AAA。 |
| 注释 | 根据您的版本地方的关键字和姓名调查员
马槽名称应使用关键字-参数对。 |
|
步骤12 |
一生
秒
例子:
设备(config-ikev2-profile)#lifetime 1000 |
指定IKEv2 SA的生存期(秒)。 |
步骤13 |
比赛
{地址
地方的{ipv4地址|ipv6地址|
接口
名称} |
证明书
证书地图|
fvrf公司{fvrf名称|任何} |身份
遥远的{地址{ipv4地址[面具] |ipv6地址
前缀} |{电子邮件|fqdn公司}[领域]一串|钥匙id
不透明密封}} 例子:
设备(config-ikev2-profile)#match address本地接口以太网2/0 |
使用match语句为对等方选择IKEv2配置文件。 |
步骤14 |
自然状态
保持活力
秒
例子:
设备(config-ikev2-profile)#nat keepalive 500 |
(可选)启用NAT keepalive并指定持续时间(秒)。
|
步骤15 |
pki信任点
信任点标签[签名|验证]
例子:
设备(config-ikev2-profile)#pki信任点tsp1签名 |
指定用于RSA签名身份验证方法的公钥基础结构(PKI)信任点。
| 注释 | 如果签名或验证未指定关键字,信任点用于签名和验证。 |
| 注释 | 与IKEv1不同,必须在IKEv2配置文件中配置信任点,才能成功进行基于证书的身份验证。如果配置中不存在此命令,则全局配置的信任点没有回退。信任点配置适用于IKEv2发起程序和响应程序。 |
|
步骤16 |
重定向网关身份验证
例子:
设备(config-ikev2-profile)#重定向网关身份验证 |
在SA身份验证时启用网关上的重定向机制。
|
步骤17 |
虚拟模板
数
例子:
设备(config-ikev2-profile)#virtual-template 125 |
(可选)指定用于克隆虚拟访问接口(VAI)的虚拟模板。
| 注释 | 对于IPsec动态虚拟隧道接口(DVTI),必须在IKEv2配置文件中指定虚拟模板,如果没有该模板,则不会启动IKEv1会话。 |
|
第18步 |
结束
例子:
设备(config-ikev2-profile)#end |
退出IKEv2配置文件配置模式并返回特权EXEC模式。 |
