IPSec ***

时间  2020-01-25
标签 ipsec 栏目 VPS 繁體版
原文   原文链接

Overlay : IPSec(Site-to-Site)(Easy)算法

Peer-to-Peer:MPLS安全

Site-to-Site:网络

       模式:tunnel mode :必定要生成一个新的IP头部ide

封装: L2   NIP  ESP/AH  IP L4 Payloadui

注意:ESP既支持加密,也支持认证,AH只有加密,没有认证加密

IKE :ISAKMPspa

  1. 协商:SA 安全关联  debug

  2. 生成orm

  3. 管理接口

ISAKMP的两个阶段 :

第一阶段:协商SA ,{main mode :主要模式}

                               {Aggressive mode :积极模式}

第二阶段:Quick mode

协议号:ESP 50

             AH   51 都封装在三层报头的前面

加密:对称:DES . 3DES ,AES (相同的钥匙,速度很快)

          非对称: RSA(分为公钥和私钥,速度慢)

Stie-to-Site配置:

  1. 须要指向公网默认路由,让内部PC能够发包出去

    ip route 0.0.0.0 0.0.0.0 Serial1/0

  2. 感兴趣流量(ACL,两端必须对称)
    access-list 100 permit ip 4.4.4.0 0.0.0.255 3.3.3.0 0.0.0.255   必须对称

    access-list 100 permit ip 3.3.3.0 0.0.0.255 4.4.4.0 0.0.0.255

  3. IKE:第一阶段:ISAKMP

    R4(config)#crypto isakmp policy 10          指定优先级为10,两端一致
    R4(config-isakmp)#authentication pre-share 指定 身份验证方法
    R4(config-isakmp)#encryption aes   指定加密算法
    R4(config-isakmp)#hash md5   指定认证算法
    R4(config-isakmp)#group 2  
    R4(config-isakmp)#exit
    R4(config)#crypto isakmp key 6 123 address 23.1.1.3   ——对端公网IP地址,密钥为123

            第二阶段:IPSec SA

    R3(config)#crypto ipsec transform-set TS esp-aes esp-md5-hmac   命名为TS,本地意义
    R3(cfg-crypto-trans)#mo tunnel      Site-to-Site只能是tunnel

  4. 把感兴趣流量和ISK结合起来(MAP)

    R3(config)#crypto map CCIE 10 ipsec-isakmp   MAP命名CCIE
    % NOTE: This new crypto map will remain disabled until a peer   提示
            and a valid access list have been configured.
    R3(config-crypto-map)#set peer 14.1.1.4   对端公网IP地址
    R3(config-crypto-map)#match address 100   ACL的序列号
    R3(config-crypto-map)#set transform-set TS 上面对transform的命名

  5. 把MAP应用在端口

    R3(config)#interface s1/0

    R3(config-if)#crypto map CCIE  上面对MAP的命名

各类查看命令

1.sh crypto ipsec sa

2.sh crypto isakmp sa

3.sh crypto engine connections active

4.sh crypto ipsec security-association lifetime

5.sh  cry isakmp policy

两个debug命令:

1.debug crypto ipsec

2.debug crypto isakmp

清除命令

1.clear crypto isakmp

2.clear crypto sa

 

GRE over Tunnel IPSec ×××:

GRE的封装:

  NIP  GRE  IP  TCP  Data

GRE over IPSe支持多种网络协议,而且支持动态×××

基本配置跟Site-to-Site配置同样,不一样配置以下:

  1. 感兴趣流量ACL的抓取:

    access-list 100 permit gre host 12.1.1.1 host 12.1.1.1   这两个地址都是公网的IP地址,不是私网地址

  2. 模式为transport

 

舒适提示:配置IPSec ×××的时候必定要注意边界路由器外网接口的IP地址的互通性,注意内网路由去往外网的可达性,注意Tunnel配置时候的路由翻动(支持动态×××)

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程