思科IPSec的配置
IPSec建立连接的过程
一、对等体建立连接大体分为:
1、流量触发:IPSec建立连接是首先是由对等体直接的数据流触发的。我们通过配置这些IPSec保护的数据流,可以明确哪些数据流会触发IPSec建立连接
2、建立管理连接:IPSec使用ISAKMP/IKE阶段1来建立管理连接。管理连接不进行数据传输,只是数据传输前的准备工作。管理连接阶段需要明确对等体之间的哪种设备验证方式、加密算法、认证算法以及DH密钥组等。
3、建立数据连接:基于阶段1建立的安全的管理连接之上,使用ISAKMP/IKE阶段2来完成。数据连接需要明确具体使用的安全协议的加密或者验证算法,以及数据的传输模式等。
二、ISAKMP/IKE阶段1建立过程
1、交换ISAKMP/IKE传输集
ISAKMP/IKE传输集是一组用来保护管理连接的策略,包括
1)加密算法:3des、des、aes
2)HMAC:MD5、SHA-1
3)设备验证类型:预共享密钥、RSA签名
4)DH密钥组:一般思科路由支持1、2、5
5)管理连接的生存周期
2、通过DH算法实现密钥转换
3、实现设备之间的验证
三、ISAKMP/IKE阶段2建立过程
1、安全关联(SA)
IPSec需要在对等体之间建立一条逻辑连接,这是使用了一个信令协议实现,也就是SA,因为IPSec需要无连接的IP在运行在就要成为面向连接的协议。SA由三要素定义:
1)安全参数索引(SPI)
2)安全协议的类型,包括AH和ESP协议
3)目的地址
2、ISAKMP/IKE阶段2的传输集
1)安全协议,AH和ESP协议
2)连接模式,隧道模式、传输模式
3)加密算法,3des,aes等
4)验证方式:MD5、SHA-1
配置过程
一、配置IPSec打通隧道
1、首先需要内网有一条通往ISP的默认路由
ip route 0.0.0.0 0.0.0.0 202.2.2.2
注释:202.2.2.2模拟ISP地址
2、配置ISAKMP策略
crypto isakmp policy 1
注释:1为策略序列号,取值范围是1~10000,值越小,优先级越高
encryption 3des
hash sha
authentication pre-share
group 5
注释:5为DH密钥组号,取值为1、2、5、6
lifetime 10000
注释:lifetime为管理连接生存时间,单位是秒(s)
crypto isakmp 0 password-key address 101.1.1.1
注释:该命令为建立共享密钥;0表示密钥使用明文,如果取值6表示密文;101.1.1.1为对端的外网口地址
3、配置IPSec保护的数据流(感兴趣的数据流)
access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255
注释:源IP地址为本地局域网的地址,目标为对端的局域网地址;定义ACL是为了明确这些数据流会通过隧道技术转发。
4、定义传输集
crypto ipsec transform-set kaifabu-set esp-des ah-sha-hmac
注释:kaifabu-set为该传输集的名称,后面跟上传输集选项(esp-des、ah-sha-hmac)
mode tunnel
exit
crypto ipsec security-association lifetime seconds 1800
注释:输入exit是为退回到全局模式,可在该模式下设置数据连接的生存周期
5、配置加密映射
crypto map kaifabu-map 1 ipsec-isakmp
注释:1为加密映射的序列号,取值1~65535,值越小,优先级越高
set peer 101.1.1.1
注释:101.1.1.1为对端外网口地址
set transform-set kaifabu-set
注释:在加密映射中调用kaifabu-set这个传输集
match address 100
注释:100前面定义的ACL100,这里是为了调用该ACL
6、应用加密映射到外网口
interface f0/0
crypto map kaifabu-map
二、配置PAT连接到Internet
access-list 101 deny 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 101 permit 192.168.1.0 0.0.0.255 any
注释:ACL配置要拒绝掉IPSec保护的数据流,使该数据流不进行PAT的转换,然后再允许内网地址通往所有的网段实现上网。
ip nat inside source list 101 interface f0/0 overload
interface f0/0
ip nat outside
interface f0/1
ip nat inside
转载于:https://blog.51cto.com/13434336/2129287
思科IPSec的配置相关推荐
- 如何备份思科cisco路由器配置
如何备份思科cisco路由器配置文件 本资料之提供大家参考学习^*^ 有什么不懂的地方在博客中留言 QQ:569535658 发布时间:2009-4-08 15 ...
- 思科ASA 5510配置教程 - 学习如何配置Cisco ASA 5510防火墙
思科ASA 5510配置教程 - 学习如何配置Cisco ASA 5510防火墙 继续我们的一系列关于思科ASA 5500防火墙的文章,我提供你在这里的基本配置教程思科ASA 5510安全设备.该设备 ...
- CCNA重点难点:思科交换机生成树配置
后台收到粉丝留言说讲一下生成树的配置,小微作为一个宠粉专业户,这还不快分分钟安排上,所以小伙伴们有想学想看的知识点都可以留言给小微,小微加更都会安排上~ 附上:教学视频+技术文档哦,你就说棒不棒,哈 ...
- 思科交换机Vlan配置以及VLAN应用场景
VLAN相关学习视频:超简单的[思科交换机Vlan配置]https://www.zhihu.com/zvideo/1446489190669803520https://www.zhihu.com/zv ...
- 思科pix防火墙配置实例大全
在配置PIX防火墙之前,先来介绍一下防火墙的物理特性.防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口:当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下: 内部区域(内网):内 ...
- 思科路由器NAT配置详解(转)
思科路由器NAT配置详解(转) 网络技术 2010-07-11 17:48:14 阅读104 评论0 字号:大中小 订阅 思科路由器NAT配置详解 一.NAT简介: NAT(Network Add ...
- IPSec隧道配置案例(手动模式)
IPSec有点难需要掌握他的逻辑及框架然后就简单了 网络攻城狮眼里的烟花! IPSec VPN 配置案例 要求 拓扑 配置 基础配置 IPSec VPN配置 分析原因 解决方法 IPSec VPN I ...
- GRE over IPSec 隧道配置案例
我也想要一个美女老师教我学习网络. GRE over IPSec 配置案例 要求 拓扑 配置 基础配置 GRE VPN配置 配置路由 IPSec配置 GRE over IPSec 技术背景 工作流程 ...
- 应用场景之Dynamic End Point(DEP)IPSec的配置
DEP是什么 DEP是很多使用WAN链接各个分分支机构不可避免要考虑的方案. DEP指的是IPSec双方不再使用IP地址进行相互验证,而是使用主机名负载进行验证的一种方式.在这种方式中,Initiat ...
最新文章
- SpringBoot Mybatis解决使用PageHelper一对多分页问题
- Unrecognized option: -jrockit
- 西交大计算机考博学术英语,2018年西安交通大学考博英语真题
- SAP MM 发货到成本中心场景下的批次确定
- 计算机桌面运维问题分类,桌面运维工程师常见面试问题汇总
- LGTM、FYI等项目开发用语,缩略语,感觉其他组员都知道,感觉就自己不知道,不好意问的就看这里把
- matlab aic怎么用,AIC信息准则的编程
- 您似乎与家庭管理员不在同一个国家/地区,油管换区过程记录
- 桌面移到D盘根目录下还原的办法
- Springboot整合Elasticsearch(High-level-Client)
- python zen_Python彩蛋--zen of python
- 联想计算机机房怎么同传,电脑开机自动进入网络同传
- !终端伪装测试之fuck校园网
- invalid argument
- “聚光灯”下的数梦工场 首提“新型互联网”战略
- 白杨SEO:推荐一款SEO文章创作,抖音、小红书等自媒体文案AI智能生成软件
- linux系统英伟达显卡刷新率,nVidia多显卡多GPU在Linux下的超频设置
- 计算机信息系统的基础,信息系统基础:信息系统概念、功能、类型
- matlab批量导入文件
- 【场景化解决方案】销帮帮酷应用,帮助企业销售团队实现精细化管理