Команды настройки тунелирования трафика 
(согласование ключей и спосбов преобразования  - ручное (manual) )

1) Определение трафика, который должен быть защищен.
 (часто совпадает с определением диапазона IP-адресов локальных сетей, между которыми
  создается безопасный тунель)

access-list <100-199> permit ip   x.x.x.x  y.y.y.y  z.z.z.z  a.a.a.a


	<100-199>  - номер данного адресного диапазона 
	x.x.x.x    - адрес источника трафика
        y.y.y.y    - шаблон адреса источника (wildcard bits - не путать с маской !)
	z.z.z.z    - адрес назначения
        a.a.a.a    - шаблон адреса назначения (wildcard bits - не путать с маской !)


   пример: 
     
        access-list 151 permit ip  11.0.0.0  0.255.255.255   12.0.0.0  0.255.255.255 

        - для данного правила (номер 151) подходит любой трафик, посылаемый из сети
          11.0.0.0 с маской 255.0.0.0  в сеть 12.0.0.0 с маской 255.0.0.0



no access-list <100-199>

         - убрать из конфигурации данную запись (access-list)


2) Определение правила преобразования трафика. Устанавливает тип протокола,
   который применяется для организации тунеля (AH и/или ESP), а так же 
   вариант используемой аутентификации и (если задано) размер ключа шифорвания.         


crypto transform-set <1-25>
 
   - создать (редактировать) правило преобразования (transform-set) c указанным номером. 
     Осуществляется вход в подменю редактирования данного правила.

....(config-crypto-transform_set)# 

....(config-crypto-transform_set)#ah { none | ah-md5-hmac | ah-sha-hmac }
 
     установить параметры протокола Authentication Header (AH)

     none        - не использовать AH    
     ah-md5-hmac - использовать AH вариант MD5  
     ah-sha-hmac - использовать AH вариант SHA

....(config-crypto-transform_set)#no ah
     
               - не использовать AH (эквивалент ah none)

....(config-crypto-transform_set)# esp <параметр>

     где параметр определяет протокол Encapsulating Security Payload (ESP)

      none          - не использовать ESP
      null-crypt    - ESP без шифрования 
      des           - шифрование DES (56-бит) без аутентификации
      des-md5-hmac  - шифрование DES (56-бит) с аутентификацией MD5  
      des-sha-hmac  - шифрование DES (56-бит) с аутентификацией SHA
      3des          - шифрование Triple DES (168-бит) без аутентификации
      3des-md5-hmac - шифрование Triple DES (168-бит) с аутентификацией MD5
      3des-sha-hmac - шифрование Triple DES (168-бит) с аутентификацией SHA

....(config-crypto-transform_set)#no esp
     
               - не использовать ESP (эквивалент esp none)

Аналогично другим подменю используются команды (exit, list, quit)



no crypto transform-set <1-25>

         - убрать из конфигурации данное правило (transform-set)

3) Описание тунеля (crypto map). Назначение индекса (SPI) и определение секретного ключа.
  Установка ссылок на соответстующие правило преобразование и диапазон адресов,
  защищаемого трафика. Определение IP-адреса конечной точки тунеля (интерфейс 
  маршрутизатора, работающего в паре с данным)


  crypto map WORD  <0-65535>

      - создание тунеля с именем "WORD" и указанным приоритетом <0-65535>

Примечание. Если некоторый интерфейс устройства является точкой начала нескольких
тунелей, то все описания этих тунелей должны иметь одинаковое имя (WORD). Все
описания тунелей рассматриваются в порядке убывания приоритета. Меньший номер 
соответствует большему приоритету.

     Осуществляется вход в подменю редактирования данного описания.

....(config-crypto-map)# 
  
  В рамках данного подменю выполняются следующие команды


....(config-crypto-map)# match address WORD

     - определить закрываемый трафик (номер соотв. access-list см. п.1)

....(config-crypto-map)# no match address
   
     - отменить ссылку на access-list

....(config-crypto-map)# set peer A.B.C.D

     - установить адрес маршрутизатора, который работает в паре с данным, образуя 
       безопасный тунель. Закрываемый трафик передается между парой пограничных 
       маршрутизаторов.

....(config-crypto-map)# no set peer

     - отменить установленный адрес (установить в значение 0.0.0.0)


....(config-crypto-map)# set transform-set WORD

     - установить правило преобразования трафика (выбрать тип протокола)

....(config-crypto-map)# no set transform-set

     - отменить правило преобразования.


....(config-crypto-map)# set session-key ah <256-4294967295> authenticator LINE

     - установить параметры для протокола AH 

        <256-4294967295> - индекс тунеля  Security Parameter Index (SPI)
        LINE             - ключ, который используется для вычисления хэш-функции
                           
Примечание: 
   а) оба параметра устанавливаются в одинаковое значение на обоих концах тунеля 
   б) для задания ключа используются шеснадцатиричные цифры 0..9, A..F
   в) размер ключа 
       для варианта MD5  - 32 шестнадцатиричные цифры (128 бит)
       для варианта SHa  - 40 шестнадцатиричных цифр  (160 бит)

....(config-crypto-map)# no set session-key ah 

     - отменить назначенные ключ и SPI.



....(config-crypto-map)# set session-key esp <256-4294967295> cipher LINE

	- установить параметры для протокола ESP если в соотв. правиле преобразования
          выбран протокол ESP без авторизации (т.е. des, 3des) 

        <256-4294967295> - индекс тунеля  Security Parameter Index (SPI)
        LINE             - ключ, который используется для шифрования


Примечание: 
     а) правило задания ключа для шифрования аналогичны случаю с ключем AH
     б) размер ключа 
       для варианта DES   - 16 шестнадцатиричных цифр (используется 56 бит)
       для варианта 3DES  - 48 шестнадцатиричных цифр (используется 168 бит)


....(config-crypto-map)# set session-key esp <256-4294967295> cipher LINE1 authenticator LINE2

	- установить параметры для протокола ESP если в соотв. правиле преобразования
          выбран протокол ESP c аутентификацией (т.е. des-md5-hmac, des-sha-hmac, 
          3des-md5-hmac или   3des-sha-hmac) 

        <256-4294967295> - индекс тунеля  Security Parameter Index (SPI)
        LINE1             - ключ, который используется для шифрования
        LINE2             - ключ, который используется для аутентификации

Примечание: 
     а) для LINE1 см. примечания для LINE (ESP)
     б) для LINE2 см. примечания для LINE (AH)
       

....(config-crypto-map)# no set session-key esp 

     - отменить назначенные ключ и SPI.
 
Аналогично другим подменю используются команды (exit, list, quit)

Примечание: 

  а) если какой-либо из параметров описания тунеля не определен, то данное описание 
     тунеля будет неработоспособно, о чем будет сообщено при включении на 
     интерфейсе режима тунелирования (см. п.4)


no crypto map WORD  <0-65535>

         - убрать из конфигурации данное описание тунеля



4)  Включении на интерфейсе режима тунелирования.

   Необходимо войти в подменю конфигурирования интерфейса, который используется как
   место начала тунеля.

....(config-if)# crypto map WORD

    - вкючить на интерфейсе режим тунелирования и определить для него все тунели
      с именем WORD.


....(config-if)# no crypto map 

    - выкючить на интерфейсе режим тунелирования. От интерфейса отключаются 
      все тунели.