IKE Richtlinie, darf sie von mehreren Verbindungen genutzt werden?

[bodo40 10]

Hallo, ich bin so neu, ich habe erst mal ein paar grundsätzliche fragen zum thema vpn zwischen Pix 515e und Cisco 831 Router.

 

Wenn ein Router eines Standortes einen VPN-Tunnel mit der Pix des Hauptstandortes herstellen soll, müssen einige Configurationen vorgenommen werden.

 

welche Rolle spielt die IKE richtlinie?

so habe ich es bis lang verstanden:

gibt 5 parameter vor: verschlüsselungsalgorithmus, Datenauthentifizierungsalgorithmus, Peer-Authentifizierungsmethode, Diffie-Hellman-Gruppen-ID, IKE-SA-Lebensdauer.

 

Da die Pix bereits mehrere verschiedene dieser richtlinien aufweist (policy 5, 10, 20, 100) könnte ich (frage) könnte ich also zum Beispiel die policy 100 auch auf dem Cisco 831 eintragen, dann wären die richtlinien parameter schon einemal in übereinstimmung.

(ja, nein?)

Darf man den in mehreren verbindungen die richtlinie 100 verwenden, oder kann es dann sein, dass eine andere verbindung die auch diese richtlinie benutzt nicht mehr funktioniert.

 

Danke

euer bodo

[heiko2 10]

Die Policy gibt lediglich einen Parametersatz zur Eruegung des IKE-SA an. Hier sind keine Peer-spezifischen Parameter.

 

Die Antwort ist ein klares ja. Die IKE-Policies sind wiederverwendbar und beinflussen bestehende Verbindungen nicht.

ACHTUNG: wird eine solche Policy geändert hat das nur Einfluss auf neue SA's bestehende bleiben bis zum Ende der Lifetime unberührt. D.h. diese müssen evtl. per clear explizit beräumt werden.

 

Hoffe das hilft.... ;)

 

Gruß Heiko

[bodo40 10]

Danke Heiko2

 

(zur Doku für mich, braucht keiner lesen)

habe nun die IKE Richtlinie auf den Router übertragen

Router(config)#crypto isakmp policy 100

Router(config-isakmp)#aut pre

Router(config-isakmp)#enc 3de

Router(config-isakmp)#has md5

Router(config-isakmp)#gru 1

Router(config-isakmp)#lif 86400

 

Router#copy run start

 

Router#show crypto isakmp policy

 

da seh ich alles wie es sein soll. Schön, das hat geklappt.

 

gruss

euer bodo