Jump to content

IKE Richtlinie, darf sie von mehreren Verbindungen genutzt werden?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo, ich bin so neu, ich habe erst mal ein paar grundsätzliche fragen zum thema vpn zwischen Pix 515e und Cisco 831 Router.

 

Wenn ein Router eines Standortes einen VPN-Tunnel mit der Pix des Hauptstandortes herstellen soll, müssen einige Configurationen vorgenommen werden.

 

welche Rolle spielt die IKE richtlinie?

so habe ich es bis lang verstanden:

gibt 5 parameter vor: verschlüsselungsalgorithmus, Datenauthentifizierungsalgorithmus, Peer-Authentifizierungsmethode, Diffie-Hellman-Gruppen-ID, IKE-SA-Lebensdauer.

 

Da die Pix bereits mehrere verschiedene dieser richtlinien aufweist (policy 5, 10, 20, 100) könnte ich (frage) könnte ich also zum Beispiel die policy 100 auch auf dem Cisco 831 eintragen, dann wären die richtlinien parameter schon einemal in übereinstimmung.

(ja, nein?)

Darf man den in mehreren verbindungen die richtlinie 100 verwenden, oder kann es dann sein, dass eine andere verbindung die auch diese richtlinie benutzt nicht mehr funktioniert.

 

Danke

euer bodo

Link to post

Die Policy gibt lediglich einen Parametersatz zur Eruegung des IKE-SA an. Hier sind keine Peer-spezifischen Parameter.

 

Die Antwort ist ein klares ja. Die IKE-Policies sind wiederverwendbar und beinflussen bestehende Verbindungen nicht.

ACHTUNG: wird eine solche Policy geändert hat das nur Einfluss auf neue SA's bestehende bleiben bis zum Ende der Lifetime unberührt. D.h. diese müssen evtl. per clear explizit beräumt werden.

 

Hoffe das hilft.... ;)

 

Gruß Heiko

Link to post

Danke Heiko2

 

(zur Doku für mich, braucht keiner lesen)

habe nun die IKE Richtlinie auf den Router übertragen

Router(config)#crypto isakmp policy 100

Router(config-isakmp)#aut pre

Router(config-isakmp)#enc 3de

Router(config-isakmp)#has md5

Router(config-isakmp)#gru 1

Router(config-isakmp)#lif 86400

 

Router#copy run start

 

Router#show crypto isakmp policy

 

da seh ich alles wie es sein soll. Schön, das hat geklappt.

 

gruss

euer bodo

Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...