爱华网CISCO以外的其他做安全产品的厂家在作VPN配置时,几乎都会有一个Phase 1和Phase2的配置界面。而不管是CISCO的ASA5500防火墙还是IOS产品在配置VPN时,都没有提到Phase 1和Phase2;这个在相同厂商的产品做VPN时,没有什么疑义,当CISCO的产品和其他家的产品配合做VPN时,往往就会碰到一些头痛的问题。
不时有用户问到我,CISCO的Phase 1和Phase 2在哪里配?
PIX及ASA5500的PHASE 2在这里,就是CISCO所称的transform,有人译成"变换集":
!PHASE 2 CONFIGURATION
!The encryption types for Phase 2 are defined here.
crypto ipsec transform?set myset esp?3des esp?sha?hmac
! Define the transform set for Phase 2.
Phase 1就是所谓的ISAKMP的POLICY了
crypto isakmp policy 10
authentication pre?share
encryption 3des
hash sha
group 2
lifetime 86400
! PHASE 1 CONFIGURATION !
! This configuration uses isakmp policy 1.
! These configuration commands define the Phase 1 policies that areused.
