***相关知识点及ASA上***的配置整理
×××只是IPSec的一种应用方式,IPSec实际上是IPSecurity的简称,它的目的是为IP提供高安全性特性,×××则是在实现这种安全特性的方式下产生的解决方案算法
IPSEC ××× 预先协商加密协议、散列函数、封装协议、封装模式和秘钥有效期等内容。具体执行协商任务的协议叫作互联网秘钥交换协议IKE。协商完成后的结果就叫作安全关联SA(IKE SA和IPSEC SA)安全
IKE创建了安全关联(SA)网络
IPSec 协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议 Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议Internet Key Exchange (IKE)和用于网络认证及加密的一些算法等。这些协议用于提供数据认证、数据完整性和加密性三种保护形式。AH和ESP均可以提供认证服务,但AH提供的认证服务要强于ESP。而IKE主要是对密钥进行交换管理,对算法、协议和密钥3个方面进行协商。架构
安全联盟 SA,记录每条 IP安全通路的策略和策略参数。安全联盟是 IPSec 的基础, 是通讯双方创建的一种协定,决定了用来保护数据包的协议、转码方式、密钥以及密钥有效期等。AH和 ESP都要用到安全联盟,IKE的一个主要功能就是创建和维护安全联盟。ISAKMP是IKE的核心协议框架
ISAKMP 是容许两个主机商定如何创建 IPSec 安全关联 (SA) 的协商协议。它提供了商定 SA 属性ide
格式的通用框架。此安全关联包括与对等体协商 SA 以及修改或删除 SA。ISAKMP 将协商分为两函数
个阶段:加密
阶段 1 建立第一条隧道,其将保护随后的 ISAKMP 协商消息。3d
阶段 2 建立保护数据的隧道。orm
IPSec ×××的应用场景分为3种:
1.Site-to-Site(站点到站点或者网关到网关):如弯曲评论的3个机构分布在互联网的3个不一样的地方,各使用一个商务领航网关相互创建×××隧道,企业内网(若干PC)之间的数据经过这些网关创建的IPSec隧道实现安全互联。
2.End-to-End(端到端或者PC到PC): 两个PC之间的通讯由两个PC之间的IPSec会话保护,而不是网关。
3.End-to-Site(端到站点或者PC到网关):两个PC之间的通讯由网关和异地PC之间的IPSec进行保护。
IPSec是一个框架性架构,具体由两类协议组成:
1.AH协议(Authentication Header,使用较少):能够同时提供数据完整性确认、数据来源确认、防重放等安全特性;AH经常使用摘要算法(单向Hash函数)MD5和SHA1实现该特性。
2.ESP协议(Encapsulated Security Payload,使用较广):能够同时提供数据完整性确认、数据加密、防重放等安全特性;ESP一般使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性。
为什么AH使用较少呢?由于AH没法提供数据加密,全部数据在传输时以明文传输,而ESP提供数据加密;其次AH由于提供数据来源确认(源IP地址一旦改变,AH校验失败),因此没法穿越NAT。固然,IPSec在极端的状况下能够同时使用AH和ESP实现最完整的安全特性,可是此种方案极其少见。
隧道组是包含隧道链接策略的记录集,ASA 会在内部存储隧道组。在ASA 系统中有两个默认隧道组:DefaultRAGroup 和 DefaultL2Lgroup,前者是默认的远程访问隧道组,后者是默认的 LAN 到 LAN 隧道组。您能够更改默认隧道组,但不能删除它们。若是在隧道协商过程当中没有标识特定隧道组, ASA 将会使用默认这两个隧道组来配置远程访问隧道组和LAN 到 LAN 隧道组的默认隧道参数。
LAN TO LAN ×××
ASA5525 IKEv1配置:
interface gigabitEthernet 0/1
ip address 10.2.2.1 255.255.255.0
nameif inside
security-level 100
no shutdown
interface gigabitEthernet 0/0
ip address 200.200.100.2 255.255.255.0
nameif outside
security-level 0
no shutdown
exit
crypto ikev1 policy 1
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400
crypto ikev1 enable outside
crypto ipsec ikev1 transform-set set1 esp-des esp-md5-hmac
access-list 101 permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0
tunnel-group 200.200.100.1 type ipsec-l2l
tunnel-group 200.200.100.1 ipsec-attributes
ikev1 pre-shared-key cienet
crypto map abcmap 1 match address 101
crypto map abcmap 1 set peer 200.200.100.1
crypto map abcmap 1 set ikev1 transform-set set1
crypto map abcmap interface outside
---------------------------------------------------------------
ASA5525 IKEv2配置:
crypto ikev2 policy 1
encryption des
group 2
prf sha
lifetime seconds 86400
crypto ikev2 enable outside
crypto ipsec ikev2 ipsec-proposal secure
protocol esp encryption 3des aes des
protocol esp integrity sha-1 md5
access-list 101 permit ip 192.168.0.0 255.255.0.0 150.150.0.0 255.255.0.0
tunnel-group 200.200.100.1 type ipsec-l2l
ikev2 local-authentication pre-shared-key cienet
crypto map abcmap 1 match address 101
crypto map abcmap 1 set peer 10.10.4.108
crypto map abcmap 1 set ikev2 ipsec-proposal secure
crypto map abcmap interface outside
write memory
---------------------------------------------------------------
ASA5520配置:
interface gigabitEthernet 0/1
ip address 10.1.1.1 255.255.255.0
nameif insideu
security-level 100
no shutdown
interface gigabitEthernet 0/0
ip address 200.200.100.1 255.255.255.0
nameif outside
security-level 0
no shutdown
exit
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption des
hash md5
group 2
tunnel-group 200.200.100.2 type ipsec-l2l
tunnel-group 200.200.100.2 ipsec-attributes
pre-shared-key cienet
access-list 101 permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
crypto ipsec transform-set set1 esp-des esp-md5-hmac
crypto map abcmap 1 match address 101
crypto map abcmap 1 set transform-set set1
crypto map abcmap 1 set peer 200.200.100.2
crypto map abcmap interface outside
-----------------------------------------------------------
L2TP IPSEC ×××
ASA version8.2.5
interface gigabitEthernet 0/1
ip address 10.1.1.1 255.255.255.0
nameif inside
security-level 100
no shutdown
interface gigabitEthernet 0/0
ip address 200.200.100.1 255.255.255.0
nameif outside
security-level 0
no shutdown
exit
ip local pool tec_addresses 10.1.1.5-10.1.1.10
group-policy tec_policy internal
group-policy tec_policy attributes
dns-server value 114.114.114.114 8.8.8.8
***-tunnel-protocol l2tp-ipsec
tunnel-group DefaultRAGroup general-attributes
default-group-policy tec_policy
address-pool tec_addresses
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key cienet
tunnel-group DefaultRAGroup ppp-attributes
no authentication pap
authentication chap
authentication ms-chap-v1
authentication ms-chap-v2
crypto ipsec transform-set trans esp-3des esp-sha-hmac
crypto ipsec transform-set trans mode transport
crypto dynamic-map dyno 10 set transform-set trans
crypto map l2tp*** 20 ipsec-isakmp dynamic dyno
crypto map l2tp*** interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group DefaultRAGroup general-attributes
authentication-server-group LOCAL
username test password 123 mschap
---------------------------------------
ASA version8.4.1
interface gigabitEthernet 0/1
ip address 10.1.1.1 255.255.255.0
nameif inside
security-level 100
no shutdown
interface gigabitEthernet 0/0
ip address 200.200.100.1 255.255.255.0
nameif outside
security-level 0
no shutdown
exit
ip local pool tec_addresses 10.1.1.5-10.1.1.10
group-policy tec_policy internal
group-policy tec_policy attributes
dns-server value 114.114.114.114 8.8.8.8
***-tunnel-protocol l2tp-ipsec
tunnel-group DefaultRAGroup general-attributes
default-group-policy tec_policy
address-pool tec_addresses
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key cienet
tunnel-group DefaultRAGroup ppp-attributes
no authentication pap
authentication chap
authentication ms-chap-v1
authentication ms-chap-v2
crypto ipsec ikev1 transform-set my-transform-set-ikev1 esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set my-transform-set-ikev1 mode transport
crypto dynamic-map dyno 10 set ikev1 transform-set trans
crypto map l2tp*** 20 ipsec-isakmp dynamic dyno
crypto map l2tp*** interface outside
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group DefaultRAGroup general-attributes
authentication-server-group LOCAL
username test password 123 mschap
注:以上知识点及配置是参考Cisco官方文档在本身理解以及实验的基础上整理而成。
- 1. Android 相关面试知识点整理
- 2. Java相关知识点整理《二》
- 3. 整理DOM事件相关知识点
- 4. Http相关知识点吐血整理
- 5. Hadoop一些相关知识点整理
- 6. Java相关知识点整理《三》
- 7. Android 相关重难点知识整理
- 8. 车联网相关知识点整理
- 9. 整理文件相关知识点
- 10. 整理:Spring相关知识点
- 更多相关文章...
- • Spring Bean的配置及常用属性 - Spring教程
- • XML 相关技术 - XML 教程
- • NewSQL-TiDB相关
- • IntelliJ IDEA 代码格式化配置和快捷键
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Android 相关面试知识点整理
- 2. Java相关知识点整理《二》
- 3. 整理DOM事件相关知识点
- 4. Http相关知识点吐血整理
- 5. Hadoop一些相关知识点整理
- 6. Java相关知识点整理《三》
- 7. Android 相关重难点知识整理
- 8. 车联网相关知识点整理
- 9. 整理文件相关知识点
- 10. 整理:Spring相关知识点