IPSec *** 的配置实现

1、前言

如图所示，某软件开发公司在中小城市创建了分支公司，分支公司开发项目小组所在网络地址为 172.16.10.0/24，该网络的主机能够经过 ××× 访问总公司开发数据服务器（10.10.33.0/24）。根据上述需求，网络管理员须要在分支公司的网关路由器上配置 ×××。

---

2、实验拓扑图

---

3、实验配置和命令

1.PC机配置

2.Server配置

3.Router0配置

路由方面的配置
R1(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2 //设置静态路由

配置 ISAKMP 策略
R1(config)#crypto isakmp policy 1  //设置加密协议isakmp策略为1
R1(config-isakmap)#encryption 3des  //设置加密算法为 3des
R1(config-isakmap)#hash sha  //设置哈希算法为sha
R1(config-isakmap)#authentication pre-share //采用预共享密钥方式
R1(config-isakmap)#group 2 //指定DH算法的密钥长度为组2
R1(config)#crypto isakmp key tedu address 200.0.0.1 //设置加密协议 isakmp 密钥为tedu指定地址为200.0.0.1

配置 ACL
R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255  //设置acl 100 容许172.16.100.0网段访问10.10.33.0 网段

配置 IPSec 策略（转换集）
R1(config)#crypto ipsec transform-set yf-set ah-sha-hmac esp-des //设置加密ipsec策略转换集名称为yf-set支持ah-sha-hmac

配置加密映射集
R1(config)#crypto map yf-map 1 ipsec-isakmp  //设置映射集 yf-map 1 协议为  ipsec-isakmp 
R1(config-crypto-map)#set peer 200.0.0.1  //与200.0.0.1端口创建邻居关系
R1(config-crypto-map)#set transform-set yf-set   //添加ipsec策略转换集 yf-set
R1(config-crypto-map)#match address 100 //匹配acl 100

将映射集应用在接口
R1(config)#interface f0/1 //进入接口f0/1
R1(config-if)#crypto map yf-map //设置映射集 yf-map

4.Router3配置

路由方面的配置
R2(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2  //设置静态路由

配置 ISAKMP 策略
R2(config)#crypto isakmp policy 1 //设置加密协议isakmp策略为1
R2(config-isakmap)#encryption 3des //设置加密算法为 3des
R2(config-isakmap)#hash sha //设置哈希算法为sha
R2(config-isakmap)#authentication pre-share  //采用预共享密钥方式
R2(config-isakmap)#group 2  //指定DH算法的密钥长度组2
R2(config)#crypto isakmp key tedu address 100.0.0.1 //设置加密协议 isakmp 密钥为tedu指定地址为100.0.0.1 （密钥必须相同）

配置 ACL
R2(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255 //设置acl 100 容许10.10.33.0网段访问172.16.10.0 网段

配置 IPSec 策略（转换集）
 R2(config)#crypto ipsec transform-set yf-set  ah-sha-hmac esp-des  //设置加密ipsec策略转换集名称为yf-set支持ah-sha-hmac（加密和认证算法要与分公司匹配）

配置加密映射集
R2(config)#crypto map yf-map 1 ipsec-isakmp //设置映射集 yf-map 1 协议为  ipsec-isakmp（与R1要相同）
R2(config-crypto-map)#set peer 100.0.0.1 //与100.0.0.1端口创建邻居关系
R2(config-crypto-map)#set transform-set yf-set  //添加ipsec策略转换集 yf-set
R2(config-crypto-map)#match address 100 //匹配acl 100

将映射集应用在接口
R2(config)#interface f0/0  //进入接口f0/0
R2(config-if)#crypto map yf-map //设置映射集 yf-map

---

4、测试：Ping 或访问 Web 服务

1.pc机ping到server服务器验证

2.pc机访问到server服务器web验证

3.验证第一阶段是否成功

R1#show crypto isakmp sa

R2#show crypto isakmp sa

5、我的笔记总结

***：虚拟专用网
做用：1.使用加密技术防止数据被窃听
2.数据完整性验证防止数据被破坏、篡改
3.经过认证机制确认身份，防止数据被截获、回收。

***访问方式：
1.站点到站点***：公司对公司
1.远程访问***：公司对我的

Ipsec ***链接须要3个步骤
1.流量触发ispec
2.创建管理链接（阶段一）
3.创建数据链接（阶段二）

Ipsec ***配置步骤
1.配置isakmp策略
2.配置acl
3.配置ipsec策略（转换集）
4.配置加密映射集
5.将映射集应用在接口

加密算法方式：
对称加密算法：des、3des、aes
非对称加密：rsa、dsa

非对应加密算法密钥方式：
1.（分公钥、私钥）：公钥加密，私钥解密。
2.（邮件应用较多）私钥签名，公钥解密。
缺点：计算时间长

Md5（信息摘要算法）：建立了128位bit签名，Md5执行速度较快。

Sha（安全散列算法）：能够产生160位签名，成为美国国家标准。

Dh算法（迪菲-赫尔曼）：dh组1有效密钥长度768，组2有效密钥长度102四、组5有效密钥长度1536。

Ah：认证头协议,数据验证，对整个ip数据包

Esp：封装安全载荷协议，对用户数据实现加密，

隧道模式：ip头部保护：新ip，***头，ip包头，有效载荷，***尾