安全的定義包含以下：

1、私密性（加密）

A、對稱秘鑰算法，如凱撒密碼，key加密到對方key解密，每次交換key不同，常用的DES（56位）、3DES、AES和RH4

B、非對稱秘鑰加密算法---接收方發送公鑰給發送方，發送方使用該公鑰加密，接收方使用私鑰解密

RSA、Diffie-Hellman、ECC

2、完整性（确保文件沒有被篡改）

一般使用HASH确保完整性，發送方通過散列函數，HASH出來一個HASH摘要，将密文和HASH摘要發送給接收方，接收方解密密文，同樣做HASH，HASH出來一個HASH摘要，比對發送過來的HASH值确認完整性。 MD5長度為128位，SHA-1長度為160位

R1#verify /md5 nvram:startup-config

.MD5 of nvram:startup-config Done!

verify /md5 (nvram:startup-config) = 43b237f52e62dcb0420a57bc23849b9c

3、源認證（确保發送方不是僞裝的源）

數字簽名，主要用于解決源認證的問題的重要性

IPSec的組成部分：

A、 ESP （負載安全封裝，端口50）協議

B、認證頭（AH）協議

C、Internet秘鑰交換協議（IKE）

4、不可否認性（不可否認自己發送過）

IPSec兩種傳輸模式

1、Transport Mode 傳輸模式 （主機到主機）

2、Tunnel Mode 隧道模式 （站點到站點）

Tunnel Mode實例分析：

Transport Mode實例分析：

=======================================================

ESP中包含一個字段SPI，标識單向的IPSEC SA(在某個方向上加密數據）

兩種SA

IKE SA（雙向的）-1個(ISAKMP,互聯網安全關聯key管理協議，IKE SA生存時間是24小時)

IPSec SA(單向的）-2個(生存時間是1小時)

ESP包結構：

大數據庫：

SPD（感興趣流），三種處理方式：1、加密2、丢地3、旁路bypass

SADB（安全關聯）

================================================

IKE第一階段彙總：

IKE第二階段：

點到點IPsec VPN配置：

1、前提Site1和Site2之間公網IP可達

2、兩個站點有到對端通信網段的路由及本網段私網的路由可達

PC1(config)#ip route 2.2.2.0 255.255.255.0 10.1.1.10

SITE1(config)#ip route 1.1.1.0 255.255.255.0 10.1.1.1

SITE1(config)#ip route 2.2.2.0 255.255.255.0 202.100.1.10

SITE1(config)#ip route 61.128.1.0 255.255.255.0 202.100.1.10

SITE2(config)#ip route 1.1.1.0 255.255.255.0 61.128.1.10

SITE2(config)#ip route 202.100.1.0 255.255.255.0 61.128.1.10

下面進行IPsec VPN配置：

lifetime為一天，不建議修改

SITE1(config)#crypto isakmp policy 10 --配置策略，序号為10 （本地有效）

SITE1(config-isakmp)#encryption 3des ---默認DES，3DES加密更加安全

SITE1(config-isakmp)#hash md5 ---哈希MD5，默認SHA

SITE1(config-isakmp)#authentication pre-share ---認證使用預共享秘鑰（需要密碼）

SITE1(config-isakmp)#group 2 --默認組1，改為組2

SITE1(config)#crypto isakmp key 0 CCIE address 61.128.1.1 ---配置預共享秘鑰

SITE2(config)#crypto isakmp key 0 CCIE address 202.100.1.1

以上第一階段已經完成，配置第二階段策略：

定義感興趣流

SITE1(config)#ip access-list extended VPN

SITE1(config-ext-nacl)#permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

SITE2(config)#ip access-list extended VPN

SITE2(config-ext-nacl)#permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

配置第二階段策略，命名為Trans esp（加密頭部） 加密方式為aes 完整性校驗為md5

SITE1(config)#crypto ipsec transform-set Trans esp-des esp-md5-hmac

SITE1(config)#crypto map Cry-map 10 ipsec-isakmp ---定義一個map（名稱等本地有效）

SITE1(config-crypto-map)#match address VPN---關聯ACL

SITE1(config-crypto-map)#set transform-set Trans--關聯第二階段的策略

SITE1(config-crypto-map)#set peer 61.128.1.1--指定對端地址

SITE1(config)#int e0/1

SITE1(config-if)#crypto map Cry-map--接口調用map

站點SITE2配置：

SITE2(config)#crypto ipsec transform-set Trans esp-des esp-md5-hmac

SITE2(config)#crypto map Cry-map 10 ipsec-isakmp

SITE2(config-crypto-map)#match address VPN

SITE2(config-crypto-map)#set transform-set Trans

SITE2(config-crypto-map)#set peer 202.100.1.1

SITE2(config)#int e 0/0

SITE2(config-if)#crypto map Cry-map

PC1可以ping通PC2 lo0 :

SITE1查看ISAKMP下：

查看IPSEC SA：

查看加密解密數據：

歡迎關注和轉發，更多精彩内容下期繼續分享！

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!