Leaflet
9-88
思科 ASA 系列命令参考,A 至 H 命令
第 9 章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令
crypto ipsec ikev1 transform-set
使用指南 此命令标识转换集要使用的 IPsec 加密和散列算法。
配置转换集后,将其分配到加密映射。您可以将最多六个转换集分配到一个加密映射。当对等设
备尝试建立 IPsec 会话时,ASA 使用每个加密映射的访问列表评估对等设备,直到找到匹配项。
然后,ASA 使用转换集中分配到加密映射的设置评估所有协议、算法和对等设备协商的其他设
置,直到找到匹配项。如果 ASA 将对等设备的 IPsec 协商与转换集中的设置匹配,它会将这些设
置作为其 IPsec 安全关联的一部分应用于受保护的流量。如果 ASA 无法将对等设备与访问列表匹
配且找不到对等设备与分配到加密映射的转换集中设置的确切匹配,则它会终止 IPsec 会话。
您可以先指定加密或身份验证。您可以指定加密而不指定身份验证。如果您在正创建的转换集中
指定身份验证,必须为其指定加密。如果您在正修改的转换集中仅指定身份验证,则转换集保留
其当前加密设置。
如果使用 AES 加密,我们建议您也在全局配置模式下使用 isakmp policy priority group 5 命令以
分配 Diffie-Hellman 组 5 来适应 AES 提供的大型密钥大小。
提示 当将转换集应用到加密映射或动态加密映射并查看分配到该映射的转换集时,如果转换集的名称
反映其配置,将非常有用。例如,下面第一个示例中的名称 “3des-md5” 显示转换集中使用的
加密和身份验证。该名称后的值是分配到转换集的实际加密和身份验证设置。
示例 以下命令展示所有可能的加密和身份验证选项,不包括未指定加密和身份验证的那些选项:
ciscoasa(config)# crypto ipsec ikev1 transform-set 3des-md5 esp-3des esp-md5-hmac
ciscoasa(config)# crypto ipsec ikev1 transform-set 3des-sha esp-3des esp-sha-hmac
ciscoasa(config)# crypto ipsec ikev1 transform-set 56des-md5 esp-des esp-md5-hmac
ciscoasa(config)# crypto ipsec ikev1 transform-set 56des-sha esp-des esp-sha-hmac
ciscoasa(config)# crypto ipsec ikev1 transform-set 128aes-md5 esp-aes esp-md5-hmac
ciscoasa(config)# crypto ipsec ikev1 transform-set 128aes-sha esp-aes esp-sha-hmac
ciscoasa(config)# crypto ipsec ikev1 transform-set 192aes-md5 esp-aes-192 esp-md5-hmac
ciscoasa(config)# crypto ipsec ikev1 transform-set 192aes-sha esp-aes-192 esp-sha-hmac
ciscoasa(config)# crypto ipsec ikev1 transform-set 256aes-md5 esp-aes-256 esp-md5-hmac
ciscoasa(config)# crypto ipsec ikev1 transform-set 256aes-sha esp-aes-256 esp-sha-hmac
ciscoasa(config)#
相关命令
命令 说明
show running-config ipsec
显示所有转换集的配置。
crypto map set transform-set
指定要在加密映射条目中使用的转换集。
crypto dynamic-map set transform-set
指定要在动态加密映射条目中使用的转换集。
show running-config crypto map
显示加密映射配置。
show running-config crypto dynamic-map
显示动态加密映射配置。