安全的定義包含以下:
1、私密性(加密)
A、對稱秘鑰算法,如凱撒密碼,key加密到對方key解密,每次交換key不同,常用的DES(56位)、3DES、AES和RH4
B、非對稱秘鑰加密算法---接收方發送公鑰給發送方,發送方使用該公鑰加密,接收方使用私鑰解密
RSA、Diffie-Hellman、ECC
2、完整性(确保文件沒有被篡改)
一般使用HASH确保完整性,發送方通過散列函數,HASH出來一個HASH摘要,将密文和HASH摘要發送給接收方,接收方解密密文,同樣做HASH,HASH出來一個HASH摘要,比對發送過來的HASH值确認完整性。 MD5長度為128位,SHA-1長度為160位
R1#verify /md5 nvram:startup-config
.MD5 of nvram:startup-config Done!
verify /md5 (nvram:startup-config) = 43b237f52e62dcb0420a57bc23849b9c
3、源認證(确保發送方不是僞裝的源)
數字簽名,主要用于解決源認證的問題的重要性
IPSec的組成部分:
A、 ESP (負載安全封裝,端口50)協議
B、認證頭(AH)協議
C、Internet秘鑰交換協議(IKE)
4、不可否認性(不可否認自己發送過)
IPSec兩種傳輸模式
1、Transport Mode 傳輸模式 (主機到主機)
2、Tunnel Mode 隧道模式 (站點到站點)
Tunnel Mode實例分析:
Transport Mode實例分析:
=======================================================
ESP中包含一個字段SPI,标識單向的IPSEC SA(在某個方向上加密數據)
兩種SA
IKE SA(雙向的)-1個(ISAKMP,互聯網安全關聯key管理協議,IKE SA生存時間是24小時)
IPSec SA(單向的)-2個(生存時間是1小時)
ESP包結構:
大數據庫:
SPD(感興趣流),三種處理方式:1、加密2、丢地3、旁路bypass
SADB(安全關聯)
================================================
IKE第一階段彙總:
IKE第二階段:
點到點IPsec VPN配置:
1、前提Site1和Site2之間公網IP可達
2、兩個站點有到對端通信網段的路由及本網段私網的路由可達
PC1(config)#ip route 2.2.2.0 255.255.255.0 10.1.1.10
SITE1(config)#ip route 1.1.1.0 255.255.255.0 10.1.1.1
SITE1(config)#ip route 2.2.2.0 255.255.255.0 202.100.1.10
SITE1(config)#ip route 61.128.1.0 255.255.255.0 202.100.1.10
SITE2(config)#ip route 1.1.1.0 255.255.255.0 61.128.1.10
SITE2(config)#ip route 202.100.1.0 255.255.255.0 61.128.1.10
下面進行IPsec VPN配置:
lifetime為一天,不建議修改
SITE1(config)#crypto isakmp policy 10 --配置策略,序号為10 (本地有效)
SITE1(config-isakmp)#encryption 3des ---默認DES,3DES加密更加安全
SITE1(config-isakmp)#hash md5 ---哈希MD5,默認SHA
SITE1(config-isakmp)#authentication pre-share ---認證使用預共享秘鑰(需要密碼)
SITE1(config-isakmp)#group 2 --默認組1,改為組2
SITE1(config)#crypto isakmp key 0 CCIE address 61.128.1.1 ---配置預共享秘鑰
SITE2(config)#crypto isakmp key 0 CCIE address 202.100.1.1
以上第一階段已經完成,配置第二階段策略:
定義感興趣流
SITE1(config)#ip access-list extended VPN
SITE1(config-ext-nacl)#permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
SITE2(config)#ip access-list extended VPN
SITE2(config-ext-nacl)#permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
配置第二階段策略,命名為Trans esp(加密頭部) 加密方式為aes 完整性校驗為md5
SITE1(config)#crypto ipsec transform-set Trans esp-des esp-md5-hmac
SITE1(config)#crypto map Cry-map 10 ipsec-isakmp ---定義一個map(名稱等本地有效)
SITE1(config-crypto-map)#match address VPN---關聯ACL
SITE1(config-crypto-map)#set transform-set Trans--關聯第二階段的策略
SITE1(config-crypto-map)#set peer 61.128.1.1--指定對端地址
SITE1(config)#int e0/1
SITE1(config-if)#crypto map Cry-map--接口調用map
站點SITE2配置:
SITE2(config)#crypto ipsec transform-set Trans esp-des esp-md5-hmac
SITE2(config)#crypto map Cry-map 10 ipsec-isakmp
SITE2(config-crypto-map)#match address VPN
SITE2(config-crypto-map)#set transform-set Trans
SITE2(config-crypto-map)#set peer 202.100.1.1
SITE2(config)#int e 0/0
SITE2(config-if)#crypto map Cry-map
PC1可以ping通PC2 lo0 :
SITE1查看ISAKMP下:
查看IPSEC SA:
查看加密解密數據:
歡迎關注和轉發,更多精彩内容下期繼續分享!
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
