ipsec proposal ipsec /創建一個IPSec安全提議
transform esp /安全協議為ESP協議(缺省值)
esp authentication-algorithm sha2-256 /配置ESP協議的認證算法
esp encryttion-algorithm aes-256 /配置ESP協議的加密算法
encapsulation-mode tunnel /配置對數據的封閉模式為隧道模式(缺省值)
ike proposal 10 /創建一個IKE安全提議,編號9
authentication-method pre-share /配置IKE安全提議的認證方法 :預共享密鑰
authentication-algorithm sha2-256 /配置IKE安全提議的認證算法
encryption-algorithm aes-256 /配置IKE安全提議的加密算法
dh group2 /配置IKE密鑰協商采用1024位的Diffie-Hellman
sa duration 5657 /配置IKE SA的生存周期:5657
ike peer ipsec /創建IKE對等體
undo version 2 /缺省開啟v1和v2版本,默認使用v1,刪除v2支持
ike-proposal 10 /引用IKE安全提議
pre-shared-key cipher ipsec /配置預共享密鑰的密碼
lifetime-notification-message enable /使能發送IKE SA 生存周期時間的通知消息
local-id-type fqdn /配置IKE協商時本端的ID類型為名稱形式
local-id l2tp /配置IKE協商時本端ID值為:playplus
remote-id-type fqdn /配置IKE協商時對端的ID類型為名稱形式
remote-id l2tp /配置IKE協商是對端ID值為:playplus
exchange-mode aggressive /為IKEv1階段1協商模式為野蠻模式
ipsec policy-template ipsectemplate 100 /配置策略模板名為ipscetemplate,編號為100
route inject dynamic /路由動態注入,
proposal ipsec /引用IPSec安全提議:ipsec
ike-peer ipsec /引用IKE對等體:ipsec
pfs dh-group2 /協商時啟用PFS特性,提高通信的安全性
ipsec policy ipsecsecurtiy 10 isakmp template ipsectemplate /創建安全策略編號為10,並引用策略模板。安全策略名:ipsecsecurtiy
interface dialer 1 /進入動態域名解析的dialer口
ipsec policy playsecurtiy /引用ipsec安全策略
ipsec authentication sha2 compatible enable /開啟SHA-2算法兼容功能解決,IPSec隧道兩端設備的廠商不同或兩端產品的版本不同,由於不同廠商或者不同產品之間加密解密的方式可能不同,會導致IPSec流量不通