Cisco ×××实例配置方案
2024-05-15 01:04:27
Router:sam-i-am(××× Server)
Current configuration:
!
version 12.2
service timestamps debug uptime
service timestamps log up time
no service password-encryption
hostname sam-i-am
ip subnet-zero
!--- IKE配置
sam-i-am(config)#crypto isakmp policy 1 //定义策略为1
sam-i-am(isakmp)#hash md5 //定义MD5散列算法
sam-i-am(isakmp)#authentication pre-share //定义为预共享密钥认证方式
sam-i-am(config)#crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!--- 配置预共享密钥为cisco123,对等端为所有IP
!--- IPSec协议配置
sam-i-am(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac
!--- 创建变换集 esp-des esp-md5-hmac
sam-i-am(config)#crypto dynamic-map rtpmap 10 //创建动态保密图rtpmap 10
san-i-am(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
san-i-am(crypto-map)#match address 115 //援引访问列表确定受保护的流量
sam-i-am(config)#crypto map rtptrans 10 ipsec-isakmp dynamic rtpmap
!--- 将动态保密图集加入到正规的图集中
interface Ethernet0
ip address 10.2.2.3 255.255.255.0
no ip directed-broadcast
ip nat inside
no mop enabled
!
interface Serial0
ip address 99.99.99.1 255.255.255.0
no ip directed-broadcast
ip nat outside
crypto map rtptrans //将保密映射应用到S0接口上
!
ip nat inside source route-map nonat interface Serial0 overload
!--- 这个NAT配置启用了路由策略,内容为10.2.2.0到10.1.1.0的访问不进行地址翻译
!--- 到其他网络的访问都翻译成SO接口的IP地址
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议
no ip http server
!
access-list 115 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 115 deny ip 10.2.2.0 0.0.0.255 any
access-list 120 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 120 permit ip 10.2.2.0 0.0.0.255 any
sam-i-am(config)#route-map nonat permit 10 //使用路由策略
sam-i-am(router-map)#match ip address 120
!
line con 0
transport input none
line aux 0
line vty 0 4
password ww
login
!
end
Router:dr_whoovie(××× Client)
Current configuration:
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
hostname dr_whoovie
ip subnet-zero
!--- IKE配置
dr_whoovie(config)#crypto isakmp policy 1 //定义策略为1
dr_whoovie(isakmp)#hash md5 //定义MD5散列算法
dr_whoovie(isakmp)#authentication pre-share //定义为预共享密钥认证方式
dr_whoovie(config)#crypto isakmp key cisco123 address 99.99.99.1
!--- 配置预共享密钥为cisco123,对等端为服务器端IP99.99.99.1
!--- IPSec协议配置
dr_whoovie(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac
!--- 创建变换集 esp-des esp-md5-hmac
dr_whoovie(config)#crypto map rtp 1 ipsec-isakmp
!--- 使用IKE创建保密图rtp 1
dr_whoovie(crypto-map)#set peer 99.99.99.1 //确定远程对等端
dr_whoovie(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
dr_whoovie(crypto-map)#match address 115 //援引访问列表确定受保护的流量
!
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
no ip directed-broadcast
ip nat inside
no mop enabled
!
interface Serial0
ip address negotiated //IP地址自动获取
no ip directed-broadcast
ip nat outside
encapsulation ppp //S0接口封装ppp协议
no ip mroute-cache
no ip route-cache
crypto map rtp //将保密映射应用到S0接口上
ip nat inside source route-map nonat interface Serial0 overload
!--- 这个NAT配置启用了路由策略,内容为10.1.1.0到10.2.2.0的访问不进行地址翻译
!--- 到其他网络的访问都翻译成SO接口的IP地址
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议
no ip http server
!
access-list 115 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
access-list 115 deny ip 10.1.1.0 0.0.0.255 any
access-list 120 deny ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
access-list 120 permit ip 10.1.1.0 0.0.0.255 any
!
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
route-map nonat permit 10 //使用路由策略
match ip address 120
!
line con 0
transport input none
line aux 0
line vty 0 4
password ww
login
!
-----------IKE配置----------------
-IPSec ×××对等端为了建立信任关系,必须交换某种形式的认证密钥。
Internet 密钥交换(Internet Key Exchange,IKE)是一种为IPSec管理和交换密钥的标准方法。一旦两个对等端之间的IKE协商取得成功,那么IKE就创建到远程对等端的安全关联(security association,SA)。SA是单向的;在两个对等端之间存在两个SA。IKE使用UDP端口500进行协商,确保端口500不被阻塞。配置:
1、(可选)启用或者禁用IKE
(global)crypto isakmp enable,或者(global)no crypto isakmp enable,默认在所有接口上启动IKE
2、创建IKE策略
(1)定义策略:(global)crypto isakmp policy priority
注释:policy 1表示策略1,假如想多配几个×××,可以写成policy 2、policy3┅
(2)(可选)定义加密算法:(isakmp)encryption {des | 3des}
加密模式可以为56位的DES-CBC(des,默认值)或者168位的3DES(3des)
(3)(可选)定义散列算法:(isamkp)hash {sha | md5},默认sha
(4)(可选)定义认证方式:(isamkp)authentication {rsa-sig | rsa-encr | pre-share}
rsa-sig 要求使用CA并且提供防止抵赖功能,默认值;rsa-encr 不需要CA,提供防止抵赖功能;pre-share 通过手工配置预共享密钥
(5)(可选)定义Diffie-Hellman标识符:(isakmp)group {1 | 2}
注释:除非购买高端路由器,或是×××通信比较少,否则最好使用group 1长度的密钥,group命令有两个参数值:1和2。参数值1表示密钥使用768位密钥,参数值2表示密钥使用1024位密钥,显然后一种密钥安全性高,但消耗更多的CPU时间。
(6)(可选)定义安全关联的生命期:(isakmp)lifetime seconds
注释:对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是两端的路由器都要设置相同的SA周期,否则×××在正常初始化之后,将会在较短的一个SA周期到达中断。
3、(rsa-sig)使用证书授权(CA)
(1)确保路由器有主机名和域名:(global)hostname hostname,(global)ip domain-name domain
(2)产生RSA密钥:(global)crypto key generate rsa
(3)使用向IPSec对等端发布证书的CA
--设定CA的主机名:(global)crypto ca identity name
--设定联络CA所使用的URL:(ca-identity)enrollment url url
URL应该采用-
--(可选)使用RA模式:(ca-identity)enrollment mode ra,(ca-identity)query url url
--(可选)设定注册重试参数:(ca-identity)enrollment retry period minutes,(ca-identity)enrollment retry count number,minutes(1到60;默认为1) number(1到100;默认为0,代表无穷次)
--(可选)可选的证书作废列表:(ca-identity)crl optional
(4)(可选)使用可信的根CA
--确定可信的根CA: (global)crypto ca trusted-root name
--(可选)从可信的根请求CRL:(ca-root)crl query url
--定义注册的方法:(ca-root)root {CEP url | TFTP server file | PROXY url}
(5)认证CA:(global)crypto ca authenticate name
(6)用CA注册路由器:(global)crypto ca enroll name
4、(rsa-encr)手工配置RSA密钥(不使用CA)
(1)产生RSA密钥:(global)crypto key generate rsa
(2)指定对等端的ISAKMP标识:(global)crypto isakmp identity {address | hostname}
(3)指定其他所有对等端的RSA密钥
--配置公共密钥链:(global)crypto key pubkey-chain rsa
--用名字或地址确定密钥:(pubkey-chain)named-key key-name [encryption | signature],(pubkey-chain)addressed-key key-name [encryption | signature]
--(可选)手工配置远程对等端的IP地址:(pubkey-key)address ip-addr
--指定远程对等端的公开密钥:(pubkey-key)key-string key-string
5、(preshare)配置预共享密钥
(global)crypto isakmp key key-string {addrss | hostname} {peer-address | peer-hostname}
注释:返回到全局设置模式确定要使用的预先共享密钥和指归×××另一端路由器IP地址,即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似
6、(可选)使用IKE模式
(1)定义要分发的“内部”或者受保护IP地址库:(global)ip local pool pool-name start-address end-address
(2)启动IKE模式协商:(global)crypto isakmp client configuration address-pool local pool-name
--------------IPSec配置----------------
IPSec 使用加密、数据完整性、源发鉴别以及拒绝重演分组来保护和认证网络层对等端之间的IP分组,IPSec对于构建内因网、外因网以及远程用户接入×××来说非常有用处.IPSec支持以下标准
--Internet协议的安全体系结构
--IKE(Internet密钥交换)
--DES(数据加密标准)
--MD5
--SHA
--AH(Authentication Header,认证首部)数据认证和反重演(anti-reply)服务
--ESP(Encapsulation Security Payload,封装安全净荷)数据隐私、数据验证以及反重演(anti-reply)服务敏感流量由访问列表所定义,并且通过crypto map(保密图)集被应用到接口上。配置:
1、为密钥管理配置IKE
2、(可选)定义SA的全局生命期
(global)crypto ipsec security-association lifetime seconds seconds
(global)crypto ipsec security-association lifetime killobytes kilobytes
3、定义保密访问列表来定义受保护的流量
(global)access-list access-list-number ....或者(global)ip access-list extended name,扩展的访问列表必须定义由IPSec保护哪种IP流量。保密图(crypto map)援引这个访问列表来确定在接口上要保护的流量。
4、定义IPSec交换集
(1)创建变换集:(global)crypto ipsec transform-set name [transform1 | transform2 | transform3]
可以在一个保密图(crypto map)中定义多个变换集。如果没有使用IKE,那么只能定义一种变换集。用户能够选择多达三种变换。
(可选)选择一种AH变换
--ah-md5-hmac
--ah-sha-hmac
--ah-rfc-1828
(可选)选择一种ESP加密编号
--esp-des
--esp-3des
--esp-rfc-1829
--esp-null
以及这些验证方法之一
--esp-md5-hmac
--esp-sha-hmac
(可选)选择IP压缩变换
--comp-lzs
(2)(可选)选择变换集的模式:(crypto-transform)mode {tunnel | transport}
5、使用IPSec策略定义保密映射
保密图(crypto map)连接了保密访问列表,确定了远程对等端、本地地址、变换集和协商方法。
(1)(可选)使用手工的安全关联(没有IKE协商)
--创建保密图:(global)crypto map map-name sequence ipsec-manual
--援引保密访问列表来确定受保护的流量:(crypto-map)match address access-list
--确定远程的IPSec对等端:(crypto-map)set peer {hostname | ip_addr}
--指定要使用的变换集:(crypto-map)set transform-set name,变换集必须和远程对等端上使用的相同
--(仅适用于AH验证)手工设定AH密钥:(crypto-map)set session-key inbound ah spi hex-key-data,(crypto-map)set session-key outbound ah spi hex-key-data
--(仅适用于ESP验证)手工设定ESP SPI和密钥
(crypto-map)set session-key inbound ah spi hex-key-data [authenticator hex-key-data]
(crypto-map)set session-key outbound ah spi hex-key-data [authenticator hex-key-data]
(2)(可选)使用IKE建立的安全关联
--创建保密图:(global)crypto map map-name sequence ipsec-isakmp
--援引保密访问列表来确定受保护的流量:(crypto-map)match address access-list
--确定远程的IPSec对等端:(crypto-map)set peer {hostname | ip_addr}
--指定要使用的变换集:(crypto-map)set transform-set name,变换集必须和远程对等端上使用的相同。
--(可选)如果SA生命期和全局默认不同,那么定义它:
(crypto-map)set security-association lifetime seconds seconds
(crypto-map)set security-association lifetime kilobytes kilobytes
--(可选)为每个源/目的主机对使用一个独立的SA:(crypto-map)set security-association level per-host
--(可选)对每个新的SA使用完整转发安全性:(crypto-map)set pfs [group1 | group2]
(3)(可选)使用动态安全关联
--创建动态的保密图:(global)crypto dynamic-map dyn-map-name dyn-seq-num
--(可选)援引保密访问列表确定受保护的流量:(crypto-map)match address access-list
--(可选)确定远程的IPSec对等端:(crypto-map)set peer {hostname | ip_addr}
--(可选)指定要使用的变换集:(crypto-map)set transform-set tranform-set-name
--(可选)如果SA生命期和全局默认不同,那么定义它:
(crypto-map)set security-association lifetime seconds seconds
(crypto-map)set security-association lifetime kilobytes kilobytes
--(可选)对每个新的SA使用完整转发安全性:(crypto-map)set pfs [group1 | group2]
--将动态保密图集加入到正规的图集中
(global)crypto map map-name sequence ipsec-isakmp dynamic dyn-map-name [discover]
--(可选)使用IKE模式的客户机配置
(global)crypto map map-name client configuration address [initiate | respond]
--(可选)使用来自AAA服务器的预共享IKE密钥
(global)crypto map map-name isakmp authorization list list-name
6、将保密映射应用到接口上
(1)指定要使用的保密映射:(interface)crypto map map-name
(2)(可选)和其他接口共享保密映射:(global)crypto map map-name local-address interface-id
IPSec&SSL
SSL ×××网关作为一种新兴的×××技术,与传统的IPSec ×××技术各具特色,各有千秋。SSL ×××比较适合用于移动用户的远程接入(Client-Site),而IPSec ×××则在网对网(Site-Site)的×××连接中具备先天优势。这两种产品将在×××市场上长期共存,优势互补。在产品的表现形式上,两者有以下几大差异:
1、 IPsec ×××多用于“网—网”连接,SSL ×××用于”移动客户—网”连接。SSL ×××的移动用户使用标准的浏览器,无需安装客户端程序,即可通过SSL ×××隧道接入内部网络;而IPSec ×××的移动用户需要安装专门的IPSec客户端软件。
2、SSL ×××是基于应用层的×××,而IPsec ×××是基于网络层的×××。IPsec ×××对所有的IP应用均透明;而SSL ×××保护基于Web的应用更有优势,当然好的产品也支持TCP/UDP的C/S应用,例如文件共享、网络邻居、Ftp、Telnet、Oracle等。
3、SSL ×××用户不受上网方式限制,SSL ×××隧道可以穿透Firewall;而IPSec客户端需要支持“NAT穿透”功能才能穿透Firewall,而且需要Firewall打开UDP500端口。
4、SSL ×××只需要维护中心节点的网关设备,客户端免维护,降低了部署和支持费用。而IPSec ×××需要管理通讯的每个节点,网管专业性较强。
5、SSL ××× 更容易提供细粒度访问控制,可以对用户的权限、资源、服务、文件进行更加细致的控制,与第三方认证系统(如:radius、AD等)结合更加便捷。而IPSec ×××主要基于IP五元组对用户进行访问控制。
正是出于SSL ×××的这些独特优势,SSL ×××越来越被一些客户所接受。作为业界领先的×××设备制造商上海安达通信息安全技术有限公司,在原有IPSec ××× SGW25系列安全网关的基础上新近推出了SJW74SSL ×××系列网关,就是要为用户提供更加多样的选择和全方位的×××互联解决方案。
SJW74SSL ×××网关的2种典型部署方式如下:
SJW74SSL ×××的典型部署模式1:网关模式。该模式所有来自因特网的应用数据都需要通过SJW74SSL ×××的保护才能够进入企业内部网络,以此来阻止消息窃听、消息重放、不合法登录等***。×××网关通常以“透明方式”接入网络。
SJW74SSL ×××的典型部署模式2:代理服务器模式。该模式较模式1安全性更高,因为通过SSL ×××隧道接入的客户能够在×××上解密后,再通过Firewall的过滤后才能接入到内网中,所以Firewall的效用能够得到更充分的发挥。
Current configuration:
!
version 12.2
service timestamps debug uptime
service timestamps log up time
no service password-encryption
hostname sam-i-am
ip subnet-zero
!--- IKE配置
sam-i-am(config)#crypto isakmp policy 1 //定义策略为1
sam-i-am(isakmp)#hash md5 //定义MD5散列算法
sam-i-am(isakmp)#authentication pre-share //定义为预共享密钥认证方式
sam-i-am(config)#crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!--- 配置预共享密钥为cisco123,对等端为所有IP
!--- IPSec协议配置
sam-i-am(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac
!--- 创建变换集 esp-des esp-md5-hmac
sam-i-am(config)#crypto dynamic-map rtpmap 10 //创建动态保密图rtpmap 10
san-i-am(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
san-i-am(crypto-map)#match address 115 //援引访问列表确定受保护的流量
sam-i-am(config)#crypto map rtptrans 10 ipsec-isakmp dynamic rtpmap
!--- 将动态保密图集加入到正规的图集中
interface Ethernet0
ip address 10.2.2.3 255.255.255.0
no ip directed-broadcast
ip nat inside
no mop enabled
!
interface Serial0
ip address 99.99.99.1 255.255.255.0
no ip directed-broadcast
ip nat outside
crypto map rtptrans //将保密映射应用到S0接口上
!
ip nat inside source route-map nonat interface Serial0 overload
!--- 这个NAT配置启用了路由策略,内容为10.2.2.0到10.1.1.0的访问不进行地址翻译
!--- 到其他网络的访问都翻译成SO接口的IP地址
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议
no ip http server
!
access-list 115 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 115 deny ip 10.2.2.0 0.0.0.255 any
access-list 120 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 120 permit ip 10.2.2.0 0.0.0.255 any
sam-i-am(config)#route-map nonat permit 10 //使用路由策略
sam-i-am(router-map)#match ip address 120
!
line con 0
transport input none
line aux 0
line vty 0 4
password ww
login
!
end
Router:dr_whoovie(××× Client)
Current configuration:
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
hostname dr_whoovie
ip subnet-zero
!--- IKE配置
dr_whoovie(config)#crypto isakmp policy 1 //定义策略为1
dr_whoovie(isakmp)#hash md5 //定义MD5散列算法
dr_whoovie(isakmp)#authentication pre-share //定义为预共享密钥认证方式
dr_whoovie(config)#crypto isakmp key cisco123 address 99.99.99.1
!--- 配置预共享密钥为cisco123,对等端为服务器端IP99.99.99.1
!--- IPSec协议配置
dr_whoovie(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac
!--- 创建变换集 esp-des esp-md5-hmac
dr_whoovie(config)#crypto map rtp 1 ipsec-isakmp
!--- 使用IKE创建保密图rtp 1
dr_whoovie(crypto-map)#set peer 99.99.99.1 //确定远程对等端
dr_whoovie(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
dr_whoovie(crypto-map)#match address 115 //援引访问列表确定受保护的流量
!
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
no ip directed-broadcast
ip nat inside
no mop enabled
!
interface Serial0
ip address negotiated //IP地址自动获取
no ip directed-broadcast
ip nat outside
encapsulation ppp //S0接口封装ppp协议
no ip mroute-cache
no ip route-cache
crypto map rtp //将保密映射应用到S0接口上
ip nat inside source route-map nonat interface Serial0 overload
!--- 这个NAT配置启用了路由策略,内容为10.1.1.0到10.2.2.0的访问不进行地址翻译
!--- 到其他网络的访问都翻译成SO接口的IP地址
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议
no ip http server
!
access-list 115 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
access-list 115 deny ip 10.1.1.0 0.0.0.255 any
access-list 120 deny ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
access-list 120 permit ip 10.1.1.0 0.0.0.255 any
!
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
route-map nonat permit 10 //使用路由策略
match ip address 120
!
line con 0
transport input none
line aux 0
line vty 0 4
password ww
login
!
-----------IKE配置----------------
-IPSec ×××对等端为了建立信任关系,必须交换某种形式的认证密钥。
Internet 密钥交换(Internet Key Exchange,IKE)是一种为IPSec管理和交换密钥的标准方法。一旦两个对等端之间的IKE协商取得成功,那么IKE就创建到远程对等端的安全关联(security association,SA)。SA是单向的;在两个对等端之间存在两个SA。IKE使用UDP端口500进行协商,确保端口500不被阻塞。配置:
1、(可选)启用或者禁用IKE
(global)crypto isakmp enable,或者(global)no crypto isakmp enable,默认在所有接口上启动IKE
2、创建IKE策略
(1)定义策略:(global)crypto isakmp policy priority
注释:policy 1表示策略1,假如想多配几个×××,可以写成policy 2、policy3┅
(2)(可选)定义加密算法:(isakmp)encryption {des | 3des}
加密模式可以为56位的DES-CBC(des,默认值)或者168位的3DES(3des)
(3)(可选)定义散列算法:(isamkp)hash {sha | md5},默认sha
(4)(可选)定义认证方式:(isamkp)authentication {rsa-sig | rsa-encr | pre-share}
rsa-sig 要求使用CA并且提供防止抵赖功能,默认值;rsa-encr 不需要CA,提供防止抵赖功能;pre-share 通过手工配置预共享密钥
(5)(可选)定义Diffie-Hellman标识符:(isakmp)group {1 | 2}
注释:除非购买高端路由器,或是×××通信比较少,否则最好使用group 1长度的密钥,group命令有两个参数值:1和2。参数值1表示密钥使用768位密钥,参数值2表示密钥使用1024位密钥,显然后一种密钥安全性高,但消耗更多的CPU时间。
(6)(可选)定义安全关联的生命期:(isakmp)lifetime seconds
注释:对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是两端的路由器都要设置相同的SA周期,否则×××在正常初始化之后,将会在较短的一个SA周期到达中断。
3、(rsa-sig)使用证书授权(CA)
(1)确保路由器有主机名和域名:(global)hostname hostname,(global)ip domain-name domain
(2)产生RSA密钥:(global)crypto key generate rsa
(3)使用向IPSec对等端发布证书的CA
--设定CA的主机名:(global)crypto ca identity name
--设定联络CA所使用的URL:(ca-identity)enrollment url url
URL应该采用-
--(可选)使用RA模式:(ca-identity)enrollment mode ra,(ca-identity)query url url
--(可选)设定注册重试参数:(ca-identity)enrollment retry period minutes,(ca-identity)enrollment retry count number,minutes(1到60;默认为1) number(1到100;默认为0,代表无穷次)
--(可选)可选的证书作废列表:(ca-identity)crl optional
(4)(可选)使用可信的根CA
--确定可信的根CA: (global)crypto ca trusted-root name
--(可选)从可信的根请求CRL:(ca-root)crl query url
--定义注册的方法:(ca-root)root {CEP url | TFTP server file | PROXY url}
(5)认证CA:(global)crypto ca authenticate name
(6)用CA注册路由器:(global)crypto ca enroll name
4、(rsa-encr)手工配置RSA密钥(不使用CA)
(1)产生RSA密钥:(global)crypto key generate rsa
(2)指定对等端的ISAKMP标识:(global)crypto isakmp identity {address | hostname}
(3)指定其他所有对等端的RSA密钥
--配置公共密钥链:(global)crypto key pubkey-chain rsa
--用名字或地址确定密钥:(pubkey-chain)named-key key-name [encryption | signature],(pubkey-chain)addressed-key key-name [encryption | signature]
--(可选)手工配置远程对等端的IP地址:(pubkey-key)address ip-addr
--指定远程对等端的公开密钥:(pubkey-key)key-string key-string
5、(preshare)配置预共享密钥
(global)crypto isakmp key key-string {addrss | hostname} {peer-address | peer-hostname}
注释:返回到全局设置模式确定要使用的预先共享密钥和指归×××另一端路由器IP地址,即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似
6、(可选)使用IKE模式
(1)定义要分发的“内部”或者受保护IP地址库:(global)ip local pool pool-name start-address end-address
(2)启动IKE模式协商:(global)crypto isakmp client configuration address-pool local pool-name
--------------IPSec配置----------------
IPSec 使用加密、数据完整性、源发鉴别以及拒绝重演分组来保护和认证网络层对等端之间的IP分组,IPSec对于构建内因网、外因网以及远程用户接入×××来说非常有用处.IPSec支持以下标准
--Internet协议的安全体系结构
--IKE(Internet密钥交换)
--DES(数据加密标准)
--MD5
--SHA
--AH(Authentication Header,认证首部)数据认证和反重演(anti-reply)服务
--ESP(Encapsulation Security Payload,封装安全净荷)数据隐私、数据验证以及反重演(anti-reply)服务敏感流量由访问列表所定义,并且通过crypto map(保密图)集被应用到接口上。配置:
1、为密钥管理配置IKE
2、(可选)定义SA的全局生命期
(global)crypto ipsec security-association lifetime seconds seconds
(global)crypto ipsec security-association lifetime killobytes kilobytes
3、定义保密访问列表来定义受保护的流量
(global)access-list access-list-number ....或者(global)ip access-list extended name,扩展的访问列表必须定义由IPSec保护哪种IP流量。保密图(crypto map)援引这个访问列表来确定在接口上要保护的流量。
4、定义IPSec交换集
(1)创建变换集:(global)crypto ipsec transform-set name [transform1 | transform2 | transform3]
可以在一个保密图(crypto map)中定义多个变换集。如果没有使用IKE,那么只能定义一种变换集。用户能够选择多达三种变换。
(可选)选择一种AH变换
--ah-md5-hmac
--ah-sha-hmac
--ah-rfc-1828
(可选)选择一种ESP加密编号
--esp-des
--esp-3des
--esp-rfc-1829
--esp-null
以及这些验证方法之一
--esp-md5-hmac
--esp-sha-hmac
(可选)选择IP压缩变换
--comp-lzs
(2)(可选)选择变换集的模式:(crypto-transform)mode {tunnel | transport}
5、使用IPSec策略定义保密映射
保密图(crypto map)连接了保密访问列表,确定了远程对等端、本地地址、变换集和协商方法。
(1)(可选)使用手工的安全关联(没有IKE协商)
--创建保密图:(global)crypto map map-name sequence ipsec-manual
--援引保密访问列表来确定受保护的流量:(crypto-map)match address access-list
--确定远程的IPSec对等端:(crypto-map)set peer {hostname | ip_addr}
--指定要使用的变换集:(crypto-map)set transform-set name,变换集必须和远程对等端上使用的相同
--(仅适用于AH验证)手工设定AH密钥:(crypto-map)set session-key inbound ah spi hex-key-data,(crypto-map)set session-key outbound ah spi hex-key-data
--(仅适用于ESP验证)手工设定ESP SPI和密钥
(crypto-map)set session-key inbound ah spi hex-key-data [authenticator hex-key-data]
(crypto-map)set session-key outbound ah spi hex-key-data [authenticator hex-key-data]
(2)(可选)使用IKE建立的安全关联
--创建保密图:(global)crypto map map-name sequence ipsec-isakmp
--援引保密访问列表来确定受保护的流量:(crypto-map)match address access-list
--确定远程的IPSec对等端:(crypto-map)set peer {hostname | ip_addr}
--指定要使用的变换集:(crypto-map)set transform-set name,变换集必须和远程对等端上使用的相同。
--(可选)如果SA生命期和全局默认不同,那么定义它:
(crypto-map)set security-association lifetime seconds seconds
(crypto-map)set security-association lifetime kilobytes kilobytes
--(可选)为每个源/目的主机对使用一个独立的SA:(crypto-map)set security-association level per-host
--(可选)对每个新的SA使用完整转发安全性:(crypto-map)set pfs [group1 | group2]
(3)(可选)使用动态安全关联
--创建动态的保密图:(global)crypto dynamic-map dyn-map-name dyn-seq-num
--(可选)援引保密访问列表确定受保护的流量:(crypto-map)match address access-list
--(可选)确定远程的IPSec对等端:(crypto-map)set peer {hostname | ip_addr}
--(可选)指定要使用的变换集:(crypto-map)set transform-set tranform-set-name
--(可选)如果SA生命期和全局默认不同,那么定义它:
(crypto-map)set security-association lifetime seconds seconds
(crypto-map)set security-association lifetime kilobytes kilobytes
--(可选)对每个新的SA使用完整转发安全性:(crypto-map)set pfs [group1 | group2]
--将动态保密图集加入到正规的图集中
(global)crypto map map-name sequence ipsec-isakmp dynamic dyn-map-name [discover]
--(可选)使用IKE模式的客户机配置
(global)crypto map map-name client configuration address [initiate | respond]
--(可选)使用来自AAA服务器的预共享IKE密钥
(global)crypto map map-name isakmp authorization list list-name
6、将保密映射应用到接口上
(1)指定要使用的保密映射:(interface)crypto map map-name
(2)(可选)和其他接口共享保密映射:(global)crypto map map-name local-address interface-id
IPSec&SSL
SSL ×××网关作为一种新兴的×××技术,与传统的IPSec ×××技术各具特色,各有千秋。SSL ×××比较适合用于移动用户的远程接入(Client-Site),而IPSec ×××则在网对网(Site-Site)的×××连接中具备先天优势。这两种产品将在×××市场上长期共存,优势互补。在产品的表现形式上,两者有以下几大差异:
1、 IPsec ×××多用于“网—网”连接,SSL ×××用于”移动客户—网”连接。SSL ×××的移动用户使用标准的浏览器,无需安装客户端程序,即可通过SSL ×××隧道接入内部网络;而IPSec ×××的移动用户需要安装专门的IPSec客户端软件。
2、SSL ×××是基于应用层的×××,而IPsec ×××是基于网络层的×××。IPsec ×××对所有的IP应用均透明;而SSL ×××保护基于Web的应用更有优势,当然好的产品也支持TCP/UDP的C/S应用,例如文件共享、网络邻居、Ftp、Telnet、Oracle等。
3、SSL ×××用户不受上网方式限制,SSL ×××隧道可以穿透Firewall;而IPSec客户端需要支持“NAT穿透”功能才能穿透Firewall,而且需要Firewall打开UDP500端口。
4、SSL ×××只需要维护中心节点的网关设备,客户端免维护,降低了部署和支持费用。而IPSec ×××需要管理通讯的每个节点,网管专业性较强。
5、SSL ××× 更容易提供细粒度访问控制,可以对用户的权限、资源、服务、文件进行更加细致的控制,与第三方认证系统(如:radius、AD等)结合更加便捷。而IPSec ×××主要基于IP五元组对用户进行访问控制。
正是出于SSL ×××的这些独特优势,SSL ×××越来越被一些客户所接受。作为业界领先的×××设备制造商上海安达通信息安全技术有限公司,在原有IPSec ××× SGW25系列安全网关的基础上新近推出了SJW74SSL ×××系列网关,就是要为用户提供更加多样的选择和全方位的×××互联解决方案。
SJW74SSL ×××网关的2种典型部署方式如下:
SJW74SSL ×××的典型部署模式1:网关模式。该模式所有来自因特网的应用数据都需要通过SJW74SSL ×××的保护才能够进入企业内部网络,以此来阻止消息窃听、消息重放、不合法登录等***。×××网关通常以“透明方式”接入网络。
SJW74SSL ×××的典型部署模式2:代理服务器模式。该模式较模式1安全性更高,因为通过SSL ×××隧道接入的客户能够在×××上解密后,再通过Firewall的过滤后才能接入到内网中,所以Firewall的效用能够得到更充分的发挥。
×××实例配置方案
Current configuration:
!
version 12.2
service timestamps debug uptime
service timestamps log up time
no service password-encryption
!
hostname sam-i-am
!--- IKE配置
sam-i-am(config)#crypto isakmp policy 1 //定义策略为1
sam-i-am(isakmp)#hash md5 //定义MD5散列算法
sam-i-am(isakmp)#authentication pre-share //定义为预共享密钥认证方式
sam-i-am(config)#crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!--- 配置预共享密钥为cisco123,对等端为所有IP
!--- IPSec协议配置
sam-i-am(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac
!--- 创建变换集 esp-des esp-md5-hmac
sam-i-am(config)#crypto dynamic-map rtpmap 10 //创建动态保密图rtpmap 10
san-i-am(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
san-i-am(crypto-map)#match address 115 //援引访问列表确定受保护的流量
sam-i-am(config)#crypto map rtptrans 10 ipsec-isakmp dynamic rtpmap
!--- 将动态保密图集加入到正规的图集中
!
interface Ethernet0
ip address 10.2.2.3 255.255.255.0
no ip directed-broadcast
ip nat inside
no mop enabled
!
interface Serial0
ip address 99.99.99.1 255.255.255.0
no ip directed-broadcast
ip nat outside
crypto map rtptrans //将保密映射应用到S0接口上
!
ip nat inside source route-map nonat interface Serial0 overload
!--- 这个NAT配置启用了路由策略,内容为10.2.2.0到10.1.1.0的访问不进行地址翻译
!--- 到其他网络的访问都翻译成SO接口的IP地址
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议
no ip http server
!
access-list 115 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 115 deny ip 10.2.2.0 0.0.0.255 any
!
access-list 120 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 120 permit ip 10.2.2.0 0.0.0.255 any
!
sam-i-am(config)#route-map nonat permit 10 //使用路由策略
sam-i-am(router-map)#match ip address 120
!
line con 0
transport input none
line aux 0
line vty 0 4
password ww
login
!
end
Router:dr_whoovie(××× Client)
Current configuration:
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname dr_whoovie
!
ip subnet-zero
!
dr_whoovie(config)#crypto isakmp policy 1 //定义策略为1
dr_whoovie(isakmp)#hash md5 //定义MD5散列算法
dr_whoovie(isakmp)#authentication pre-share //定义为预共享密钥认证方式
dr_whoovie(config)#crypto isakmp key cisco123 address 99.99.99.1
!--- 配置预共享密钥为cisco123,对等端为服务器端IP99.99.99.1
!--- IPSec协议配置
dr_whoovie(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac
!--- 创建变换集 esp-des esp-md5-hmac
dr_whoovie(config)#crypto map rtp 1 ipsec-isakmp
!--- 使用IKE创建保密图rtp 1
dr_whoovie(crypto-map)#set peer 99.99.99.1 //确定远程对等端
dr_whoovie(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
dr_whoovie(crypto-map)#match address 115 //援引访问列表确定受保护的流量
!
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
no ip directed-broadcast
ip nat inside
no mop enabled
!
interface Serial0
ip address negotiated //IP地址自动获取
no ip directed-broadcast
ip nat outside
encapsulation ppp //S0接口封装ppp协议
no ip mroute-cache
no ip route-cache
crypto map rtp //将保密映射应用到S0接口上
!
ip nat inside source route-map nonat interface Serial0 overload
!--- 这个NAT配置启用了路由策略,内容为10.1.1.0到10.2.2.0的访问不进行地址翻译
!--- 到其他网络的访问都翻译成SO接口的IP地址
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议
no ip http server
!
access-list 115 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
access-list 115 deny ip 10.1.1.0 0.0.0.255 any
access-list 120 deny ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
access-list 120 permit ip 10.1.1.0 0.0.0.255 any
!
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
route-map nonat permit 10 //使用路由策略
match ip address 120
!
line con 0
transport input none
line aux 0
line vty 0 4
password ww
login
!
end
-----------IKE配置----------------
IPSec ×××对等端为了建立信任关系,必须交换某种形式的认证密钥。
Internet 密钥交换(Internet Key Exchange,IKE)是一种为IPSec管理和交换密钥的标准方法。
一旦两个对等端之间的IKE协商取得成功,那么IKE就创建到远程对等端的安全关联(security association,SA)。SA是单向的;在两个对等端之间存在两个SA。
IKE使用UDP端口500进行协商,确保端口500不被阻塞。
配置
1、(可选)启用或者禁用IKE
(global)crypto isakmp enable
或者 (global)no crypto isakmp enable 默认在所有接口上启动IKE
2、创建IKE策略
(1)定义策略
(global)crypto isakmp policy priority
注释:policy 1表示策略1,假如想多配几个×××,可以写成policy 2、policy3┅
(2)(可选)定义加密算法
(isakmp)encryption {des | 3des}
加密模式可以为56位的DES-CBC(des,默认值)或者168位的3DES(3des)
(3)(可选)定义散列算法
(isamkp)hash {sha | md5} 默认sha
(4)(可选)定义认证方式
(isamkp)authentication {rsa-sig | rsa-encr | pre-share}
rsa-sig 要求使用CA并且提供防止抵赖功能;默认值
rsa-encr 不需要CA,提供防止抵赖功能
pre-share 通过手工配置预共享密钥
(5)(可选)定义Diffie-Hellman标识符
(isakmp)group {1 | 2}
注释:除非购买高端路由器,或是×××通信比较少,否则最好使用group 1长度的密钥,group命令有两个参数值:1和2。参数值1表示密钥使用768位密钥,
参数值2表示密钥使用1024位密钥,显然后一种密钥安全性高,但消耗更多的CPU时间。
(6)(可选)定义安全关联的生命期
(isakmp)lifetime seconds
注释:对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是两端的路由器都要设置相同的SA周期,否则×××在正
常初始化之后,将会在较短的一个SA周期到达中断。
3、(rsa-sig)使用证书授权(CA)
(1)确保路由器有主机名和域名
(global)hostname hostname
(global)ip domain-name domain
(2)产生RSA密钥
(global)crypto key generate rsa
(3)使用向IPSec对等端发布证书的CA
--设定CA的主机名
(global)crypto ca identity name
--设定联络CA所使用的URL
(ca-identity)enrollment url url
URL应该采用[url]http://ca-domain-nameort/cgi-bin-location[/url]的形式
--(可选)使用RA模式
(ca-identity)enrollment mode ra
(ca-identity)query url url
--(可选)设定注册重试参数
(ca-identity)enrollment retry period minutes
(ca-identity)enrollment retry count number
minutes(1到60;默认为1) number(1到100;默认为0,代表无穷次)
--(可选)可选的证书作废列表
(ca-identity)crl optional
(4)(可选)使用可信的根CA
--确定可信的根CA
(global)crypto ca trusted-root name
--(可选)从可信的根请求CRL
(ca-root)crl query url
--定义注册的方法
(ca-root)root {CEP url | TFTP server file | PROXY url}
(5)认证CA
(global)crypto ca authenticate name
(6)用CA注册路由器
(global)crypto ca enroll name
4、(rsa-encr)手工配置RSA密钥(不使用CA)
(1)产生RSA密钥
(global)crypto key generate rsa
(2)指定对等端的ISAKMP标识
(global)crypto isakmp identity {address | hostname}
(3)指定其他所有对等端的RSA密钥
--配置公共密钥链
(global)crypto key pubkey-chain rsa
--用名字或地址确定密钥
(pubkey-chain)named-key key-name [encryption | signature]
(pubkey-chain)addressed-key key-name [encryption | signature]
--(可选)手工配置远程对等端的IP地址
(pubkey-key)address ip-addr
--指定远程对等端的公开密钥
(pubkey-key)key-string key-string
5、(preshare)配置预共享密钥
(global)crypto isakmp key key-string {addrss | hostname} {peer-address | peer-hostname}
注释:返回到全局设置模式确定要使用的预先共享密钥和指归×××另一端路由器IP地址,即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似
6、(可选)使用IKE模式
(1)定义要分发的“内部”或者受保护IP地址库
(global)ip local pool pool-name start-address end-address
(2)启动IKE模式协商
(global)crypto isakmp client configuration address-pool local pool-name
--------------IPSec配置----------------
IPSec 使用加密、数据完整性、源发鉴别以及拒绝重演分组来保护和认证网络层对等端之间的IP分组
IPSec对于构建内因网、外因网以及远程用户接入×××来说非常有用处
IPSec支持以下标准
--Internet协议的安全体系结构
--IKE(Internet密钥交换)
--DES(数据加密标准)
--MD5
--SHA
--AH(Authentication Header,认证首部)数据认证和反重演(anti-reply)服务
--ESP(Encapsulation Security Payload,封装安全净荷)数据隐私、数据验证以及反重演(anti-reply)服务
敏感流量由访问列表所定义,并且通过crypto map(保密图)集被应用到接口上。
配置
1、为密钥管理配置IKE
2、(可选)定义SA的全局生命期
(global)crypto ipsec security-association lifetime seconds seconds
(global)crypto ipsec security-association lifetime killobytes kilobytes
3、定义保密访问列表来定义受保护的流量
(global)access-list access-list-number ....
或者 (global)ip access-list extended name
扩展的访问列表必须定义由IPSec保护哪种IP流量。保密图(crypto map)援引这个访问列表来确定在接口上要保护的流量。
4、定义IPSec交换集
(1)创建变换集
(global)crypto ipsec transform-set name [transform1 | transform2 | transform3]
可以在一个保密图(crypto map)中定义多个变换集。如果没有使用IKE,那么只能定义一种变换集。用户能够选择多达三种变换。
(可选)选择一种AH变换
--ah-md5-hmac
--ah-sha-hmac
--ah-rfc-1828
(可选)选择一种ESP加密编号
--esp-des
--esp-3des
--esp-rfc-1829
--esp-null
以及这些验证方法之一
--esp-md5-hmac
--esp-sha-hmac
(可选)选择IP压缩变换
--comp-lzs
(2)(可选)选择变换集的模式
(crypto-transform)mode {tunnel | transport}
5、使用IPSec策略定义保密映射
保密图(crypto map)连接了保密访问列表,确定了远程对等端、本地地址、变换集和协商方法。
(1)(可选)使用手工的安全关联(没有IKE协商)
--创建保密图
(global)crypto map map-name sequence ipsec-manual
--援引保密访问列表来确定受保护的流量
(crypto-map)match address access-list
--确定远程的IPSec对等端
(crypto-map)set peer {hostname | ip_addr}
--指定要使用的变换集
(crypto-map)set transform-set name
变换集必须和远程对等端上使用的相同
--(仅适用于AH验证)手工设定AH密钥
(crypto-map)set session-key inbound ah spi hex-key-data
(crypto-map)set session-key outbound ah spi hex-key-data
--(仅适用于ESP验证)手工设定ESP SPI和密钥
(crypto-map)set session-key inbound ah spi hex-key-data [authenticator hex-key-data]
(crypto-map)set session-key outbound ah spi hex-key-data [authenticator hex-key-data]
(2)(可选)使用IKE建立的安全关联
--创建保密图
(global)crypto map map-name sequence ipsec-isakmp
--援引保密访问列表来确定受保护的流量
(crypto-map)match address access-list
--确定远程的IPSec对等端
(crypto-map)set peer {hostname | ip_addr}
--指定要使用的变换集
(crypto-map)set transform-set name
变换集必须和远程对等端上使用的相同
--(可选)如果SA生命期和全局默认不同,那么定义它:
(crypto-map)set security-association lifetime seconds seconds
(crypto-map)set security-association lifetime kilobytes kilobytes
--(可选)为每个源/目的主机对使用一个独立的SA
(crypto-map)set security-association level per-host
--(可选)对每个新的SA使用完整转发安全性
(crypto-map)set pfs [group1 | group2]
(3)(可选)使用动态安全关联
--创建动态的保密图
(global)crypto dynamic-map dyn-map-name dyn-seq-num
--(可选)援引保密访问列表确定受保护的流量
(crypto-map)match address access-list
--(可选)确定远程的IPSec对等端
(crypto-map)set peer {hostname | ip_addr}
--(可选)指定要使用的变换集
(crypto-map)set transform-set tranform-set-name
--(可选)如果SA生命期和全局默认不同,那么定义它:
(crypto-map)set security-association lifetime seconds seconds
(crypto-map)set security-association lifetime kilobytes kilobytes
--(可选)对每个新的SA使用完整转发安全性
(crypto-map)set pfs [group1 | group2]
--将动态保密图集加入到正规的图集中
(global)crypto map map-name sequence ipsec-isakmp dynamic dyn-map-name [discover]
--(可选)使用IKE模式的客户机配置
(global)crypto map map-name client configuration address [initiate | respond]
--(可选)使用来自AAA服务器的预共享IKE密钥
(global)crypto map map-name isakmp authorization list list-name
6、将保密映射应用到接口上
(1)指定要使用的保密映射
(interface)crypto map map-name
(2)(可选)和其他接口共享保密映射
(global)crypto map map-name local-address interface-id
Current configuration:
!
version 12.2
service timestamps debug uptime
service timestamps log up time
no service password-encryption
!
hostname sam-i-am
!--- IKE配置
sam-i-am(config)#crypto isakmp policy 1 //定义策略为1
sam-i-am(isakmp)#hash md5 //定义MD5散列算法
sam-i-am(isakmp)#authentication pre-share //定义为预共享密钥认证方式
sam-i-am(config)#crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!--- 配置预共享密钥为cisco123,对等端为所有IP
!--- IPSec协议配置
sam-i-am(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac
!--- 创建变换集 esp-des esp-md5-hmac
sam-i-am(config)#crypto dynamic-map rtpmap 10 //创建动态保密图rtpmap 10
san-i-am(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
san-i-am(crypto-map)#match address 115 //援引访问列表确定受保护的流量
sam-i-am(config)#crypto map rtptrans 10 ipsec-isakmp dynamic rtpmap
!--- 将动态保密图集加入到正规的图集中
!
interface Ethernet0
ip address 10.2.2.3 255.255.255.0
no ip directed-broadcast
ip nat inside
no mop enabled
!
interface Serial0
ip address 99.99.99.1 255.255.255.0
no ip directed-broadcast
ip nat outside
crypto map rtptrans //将保密映射应用到S0接口上
!
ip nat inside source route-map nonat interface Serial0 overload
!--- 这个NAT配置启用了路由策略,内容为10.2.2.0到10.1.1.0的访问不进行地址翻译
!--- 到其他网络的访问都翻译成SO接口的IP地址
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议
no ip http server
!
access-list 115 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 115 deny ip 10.2.2.0 0.0.0.255 any
!
access-list 120 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 120 permit ip 10.2.2.0 0.0.0.255 any
!
sam-i-am(config)#route-map nonat permit 10 //使用路由策略
sam-i-am(router-map)#match ip address 120
!
line con 0
transport input none
line aux 0
line vty 0 4
password ww
login
!
end
Router:dr_whoovie(××× Client)
Current configuration:
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname dr_whoovie
!
ip subnet-zero
!
dr_whoovie(config)#crypto isakmp policy 1 //定义策略为1
dr_whoovie(isakmp)#hash md5 //定义MD5散列算法
dr_whoovie(isakmp)#authentication pre-share //定义为预共享密钥认证方式
dr_whoovie(config)#crypto isakmp key cisco123 address 99.99.99.1
!--- 配置预共享密钥为cisco123,对等端为服务器端IP99.99.99.1
!--- IPSec协议配置
dr_whoovie(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac
!--- 创建变换集 esp-des esp-md5-hmac
dr_whoovie(config)#crypto map rtp 1 ipsec-isakmp
!--- 使用IKE创建保密图rtp 1
dr_whoovie(crypto-map)#set peer 99.99.99.1 //确定远程对等端
dr_whoovie(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
dr_whoovie(crypto-map)#match address 115 //援引访问列表确定受保护的流量
!
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
no ip directed-broadcast
ip nat inside
no mop enabled
!
interface Serial0
ip address negotiated //IP地址自动获取
no ip directed-broadcast
ip nat outside
encapsulation ppp //S0接口封装ppp协议
no ip mroute-cache
no ip route-cache
crypto map rtp //将保密映射应用到S0接口上
!
ip nat inside source route-map nonat interface Serial0 overload
!--- 这个NAT配置启用了路由策略,内容为10.1.1.0到10.2.2.0的访问不进行地址翻译
!--- 到其他网络的访问都翻译成SO接口的IP地址
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议
no ip http server
!
access-list 115 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
access-list 115 deny ip 10.1.1.0 0.0.0.255 any
access-list 120 deny ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
access-list 120 permit ip 10.1.1.0 0.0.0.255 any
!
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
route-map nonat permit 10 //使用路由策略
match ip address 120
!
line con 0
transport input none
line aux 0
line vty 0 4
password ww
login
!
end
-----------IKE配置----------------
IPSec ×××对等端为了建立信任关系,必须交换某种形式的认证密钥。
Internet 密钥交换(Internet Key Exchange,IKE)是一种为IPSec管理和交换密钥的标准方法。
一旦两个对等端之间的IKE协商取得成功,那么IKE就创建到远程对等端的安全关联(security association,SA)。SA是单向的;在两个对等端之间存在两个SA。
IKE使用UDP端口500进行协商,确保端口500不被阻塞。
配置
1、(可选)启用或者禁用IKE
(global)crypto isakmp enable
或者 (global)no crypto isakmp enable 默认在所有接口上启动IKE
2、创建IKE策略
(1)定义策略
(global)crypto isakmp policy priority
注释:policy 1表示策略1,假如想多配几个×××,可以写成policy 2、policy3┅
(2)(可选)定义加密算法
(isakmp)encryption {des | 3des}
加密模式可以为56位的DES-CBC(des,默认值)或者168位的3DES(3des)
(3)(可选)定义散列算法
(isamkp)hash {sha | md5} 默认sha
(4)(可选)定义认证方式
(isamkp)authentication {rsa-sig | rsa-encr | pre-share}
rsa-sig 要求使用CA并且提供防止抵赖功能;默认值
rsa-encr 不需要CA,提供防止抵赖功能
pre-share 通过手工配置预共享密钥
(5)(可选)定义Diffie-Hellman标识符
(isakmp)group {1 | 2}
注释:除非购买高端路由器,或是×××通信比较少,否则最好使用group 1长度的密钥,group命令有两个参数值:1和2。参数值1表示密钥使用768位密钥,
参数值2表示密钥使用1024位密钥,显然后一种密钥安全性高,但消耗更多的CPU时间。
(6)(可选)定义安全关联的生命期
(isakmp)lifetime seconds
注释:对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是两端的路由器都要设置相同的SA周期,否则×××在正
常初始化之后,将会在较短的一个SA周期到达中断。
3、(rsa-sig)使用证书授权(CA)
(1)确保路由器有主机名和域名
(global)hostname hostname
(global)ip domain-name domain
(2)产生RSA密钥
(global)crypto key generate rsa
(3)使用向IPSec对等端发布证书的CA
--设定CA的主机名
(global)crypto ca identity name
--设定联络CA所使用的URL
(ca-identity)enrollment url url
URL应该采用[url]http://ca-domain-nameort/cgi-bin-location[/url]的形式
--(可选)使用RA模式
(ca-identity)enrollment mode ra
(ca-identity)query url url
--(可选)设定注册重试参数
(ca-identity)enrollment retry period minutes
(ca-identity)enrollment retry count number
minutes(1到60;默认为1) number(1到100;默认为0,代表无穷次)
--(可选)可选的证书作废列表
(ca-identity)crl optional
(4)(可选)使用可信的根CA
--确定可信的根CA
(global)crypto ca trusted-root name
--(可选)从可信的根请求CRL
(ca-root)crl query url
--定义注册的方法
(ca-root)root {CEP url | TFTP server file | PROXY url}
(5)认证CA
(global)crypto ca authenticate name
(6)用CA注册路由器
(global)crypto ca enroll name
4、(rsa-encr)手工配置RSA密钥(不使用CA)
(1)产生RSA密钥
(global)crypto key generate rsa
(2)指定对等端的ISAKMP标识
(global)crypto isakmp identity {address | hostname}
(3)指定其他所有对等端的RSA密钥
--配置公共密钥链
(global)crypto key pubkey-chain rsa
--用名字或地址确定密钥
(pubkey-chain)named-key key-name [encryption | signature]
(pubkey-chain)addressed-key key-name [encryption | signature]
--(可选)手工配置远程对等端的IP地址
(pubkey-key)address ip-addr
--指定远程对等端的公开密钥
(pubkey-key)key-string key-string
5、(preshare)配置预共享密钥
(global)crypto isakmp key key-string {addrss | hostname} {peer-address | peer-hostname}
注释:返回到全局设置模式确定要使用的预先共享密钥和指归×××另一端路由器IP地址,即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似
6、(可选)使用IKE模式
(1)定义要分发的“内部”或者受保护IP地址库
(global)ip local pool pool-name start-address end-address
(2)启动IKE模式协商
(global)crypto isakmp client configuration address-pool local pool-name
--------------IPSec配置----------------
IPSec 使用加密、数据完整性、源发鉴别以及拒绝重演分组来保护和认证网络层对等端之间的IP分组
IPSec对于构建内因网、外因网以及远程用户接入×××来说非常有用处
IPSec支持以下标准
--Internet协议的安全体系结构
--IKE(Internet密钥交换)
--DES(数据加密标准)
--MD5
--SHA
--AH(Authentication Header,认证首部)数据认证和反重演(anti-reply)服务
--ESP(Encapsulation Security Payload,封装安全净荷)数据隐私、数据验证以及反重演(anti-reply)服务
敏感流量由访问列表所定义,并且通过crypto map(保密图)集被应用到接口上。
配置
1、为密钥管理配置IKE
2、(可选)定义SA的全局生命期
(global)crypto ipsec security-association lifetime seconds seconds
(global)crypto ipsec security-association lifetime killobytes kilobytes
3、定义保密访问列表来定义受保护的流量
(global)access-list access-list-number ....
或者 (global)ip access-list extended name
扩展的访问列表必须定义由IPSec保护哪种IP流量。保密图(crypto map)援引这个访问列表来确定在接口上要保护的流量。
4、定义IPSec交换集
(1)创建变换集
(global)crypto ipsec transform-set name [transform1 | transform2 | transform3]
可以在一个保密图(crypto map)中定义多个变换集。如果没有使用IKE,那么只能定义一种变换集。用户能够选择多达三种变换。
(可选)选择一种AH变换
--ah-md5-hmac
--ah-sha-hmac
--ah-rfc-1828
(可选)选择一种ESP加密编号
--esp-des
--esp-3des
--esp-rfc-1829
--esp-null
以及这些验证方法之一
--esp-md5-hmac
--esp-sha-hmac
(可选)选择IP压缩变换
--comp-lzs
(2)(可选)选择变换集的模式
(crypto-transform)mode {tunnel | transport}
5、使用IPSec策略定义保密映射
保密图(crypto map)连接了保密访问列表,确定了远程对等端、本地地址、变换集和协商方法。
(1)(可选)使用手工的安全关联(没有IKE协商)
--创建保密图
(global)crypto map map-name sequence ipsec-manual
--援引保密访问列表来确定受保护的流量
(crypto-map)match address access-list
--确定远程的IPSec对等端
(crypto-map)set peer {hostname | ip_addr}
--指定要使用的变换集
(crypto-map)set transform-set name
变换集必须和远程对等端上使用的相同
--(仅适用于AH验证)手工设定AH密钥
(crypto-map)set session-key inbound ah spi hex-key-data
(crypto-map)set session-key outbound ah spi hex-key-data
--(仅适用于ESP验证)手工设定ESP SPI和密钥
(crypto-map)set session-key inbound ah spi hex-key-data [authenticator hex-key-data]
(crypto-map)set session-key outbound ah spi hex-key-data [authenticator hex-key-data]
(2)(可选)使用IKE建立的安全关联
--创建保密图
(global)crypto map map-name sequence ipsec-isakmp
--援引保密访问列表来确定受保护的流量
(crypto-map)match address access-list
--确定远程的IPSec对等端
(crypto-map)set peer {hostname | ip_addr}
--指定要使用的变换集
(crypto-map)set transform-set name
变换集必须和远程对等端上使用的相同
--(可选)如果SA生命期和全局默认不同,那么定义它:
(crypto-map)set security-association lifetime seconds seconds
(crypto-map)set security-association lifetime kilobytes kilobytes
--(可选)为每个源/目的主机对使用一个独立的SA
(crypto-map)set security-association level per-host
--(可选)对每个新的SA使用完整转发安全性
(crypto-map)set pfs [group1 | group2]
(3)(可选)使用动态安全关联
--创建动态的保密图
(global)crypto dynamic-map dyn-map-name dyn-seq-num
--(可选)援引保密访问列表确定受保护的流量
(crypto-map)match address access-list
--(可选)确定远程的IPSec对等端
(crypto-map)set peer {hostname | ip_addr}
--(可选)指定要使用的变换集
(crypto-map)set transform-set tranform-set-name
--(可选)如果SA生命期和全局默认不同,那么定义它:
(crypto-map)set security-association lifetime seconds seconds
(crypto-map)set security-association lifetime kilobytes kilobytes
--(可选)对每个新的SA使用完整转发安全性
(crypto-map)set pfs [group1 | group2]
--将动态保密图集加入到正规的图集中
(global)crypto map map-name sequence ipsec-isakmp dynamic dyn-map-name [discover]
--(可选)使用IKE模式的客户机配置
(global)crypto map map-name client configuration address [initiate | respond]
--(可选)使用来自AAA服务器的预共享IKE密钥
(global)crypto map map-name isakmp authorization list list-name
6、将保密映射应用到接口上
(1)指定要使用的保密映射
(interface)crypto map map-name
(2)(可选)和其他接口共享保密映射
(global)crypto map map-name local-address interface-id
转载于:https://blog.51cto.com/roland/118016
Cisco ×××实例配置方案相关推荐
- Cisco ××× 实例配置方案
Router:sam-i-am(××× Server) Current configuration: ! version 12.2 service timestamps debug uptime s ...
- 《Cisco路由器配置与管理完全手册》(第二版)前言和目录
史上最具人气.最受好评的网络设备图书领域"四大金刚"的全新升级版本再现江湖了,他们分别是:<Cisco交换机配置与管理完全手册>(第二版).<H3C交换机配置与管 ...
- 《Cisco交换机配置与管理完全手册》(第二版)前言和目录
史上最具人气.最受好评的网络设备图书领域"四大金刚"的全新升级版本再现江湖了,他们分别是:<Cisco交换机配置与管理完全手册>(第二版).<H3C交换机配置与管 ...
- mysql++3307,mysql多实例配置方法
Mysql多实例配置 1.什么是多实例? 在linux系统中代表:多个进程+多个线程+多个预分配内存结构 一般用来测试环境中,测试主从,高可用等. 多实例配置方案:(多个数据库管理系统)端口port分 ...
- Cisco 2950 系列交换机实例配置
Cisco Catalyst 2950系列智能以太网交换机,提供卓越的性能.易使用性以及集成的Cisco IOS软件.它通过DSCP.WRR等保证先进的服务质量.同时,它具有限速(Rate-limit ...
- mysql多实例配置安装_MySQL多实例安装配置方案
一.基本概念 MySQL多实例就是,在一台机器上开启多个不同的服务端口(如:3306,3307,3308...),运行多个MySQL服务进程,这些服务进程通过不同的socket监听不同的端口提供服务. ...
- Cisco路由器的安全配置方案
Cisco路由器的安全配置方案 标签: cisco 配置 安全 路由器 方案 Cisco路由器的安全配置方案 Author: BluShin Auditor: Amy E-mail:Yangtongu ...
- Cisco 3550配置DHCP实例
Cisco 3550配置dhcp,网络上多有讨论,但大都存在错漏,按照网上介绍的配置一句"IP HELPER-ADDRESS DHCP服务器地址"后,工程当中发现客户机不能从DHC ...
- 如何备份思科cisco路由器配置
如何备份思科cisco路由器配置文件 本资料之提供大家参考学习^*^ 有什么不懂的地方在博客中留言 QQ:569535658 发布时间:2009-4-08 15 ...
最新文章
- 有这一篇机器学习全够了
- [机器学习]信息熵信息增益
- continue和break的区别
- 深入理解 SpringBoot 启动机制(starter 机制)
- 实现picturecontrol控件显示图片_陕西曝光机触摸屏实时数据控件
- 纯java生成excel
- windows PHP Cli模式下配置
- java金额类型_Java中存储金额用什么数据类型?
- 暴力字符匹配算法的C语言实现
- Python实现Wordcloud生成词云图的示例
- java 本季度_Java获取当天、本周、本月、本季度、本年等 开始及结束时间
- git实现审核功能_使用 Pull Request 功能进行代码审查
- 计算机二级考试基础知识文档,计算机二级公共基础知识(考试必考)
- Spring新手教程
- MEMS惯性传感器初始姿态角的确定
- php copy路径出错,php – copy()函数的第二个参数不能是一个目录
- 论文引用文献并插入编号
- 【NLP】电影评论情感分析(基础篇)
- python bookmark_Python PyQT-网络浏览器|书签
- 指纹传感器安全性究竟有多少?