使用IKE预共享密钥配置IPsec
配置IKE预共享密钥的过程
1 为IKE和IPSEC准备
1检查当前配置 show running-configuration show crypto isakmp policy show crypto map
2确定IKE策略(IKE阶段1) 基于对等体的位置和数目,确定对等体之间的IKE策略
IKE阶段1:定义策略参数
参数 强 更强 参数 强 更强
加密算法 DES 3-DES 密钥交换 DH组1 DH组2
散列算法 MD5 SHA-1 IKE SA生命期 86400 <86400
认证方法 预共享 RSA加密
RSA签名
为一定用途建立IKE策略
IKE协商必须受到保护,在每个对等体同意一个通用的IKE策略时,每个IKE协商开始,该策略规定哪些安全参数将被用来保护之后的IKE协商。
两个对等体同意一个策略后,在每个对等体上建立起一个SA,确定策略的安全参数,,这些SA应用于随后的协商过程中的所有IKE流量。
定义IKE策略参数
IKE阶段1默认值
参数 接收的值 关键字 默认值
消息加密算法 DES Des DES
3-DES 3des DES
信息完整性散列算法 SHA-1 HMAC变种 sha SHA-1
MD5 HMAC变种 md5 SHA-1
对等体认证方法 预共享密钥 pre-share RSA签名
RSA加密的nonces rsa-encr RSA签名
RSA签名 sig RSA签名
密钥变换参数 768 位DH 1 768
1024 位DH 2 768
1536 位DH 5 768
亿建立的ISAKMP SA生命期 可以指定任何秒数 -- 86400秒(24×60×60一天)
举例:这里很简单,不做描述
3确定IKE策略(IKE阶段2) 指定IPsec对等体详细信息,ip地址 ip变换集 ipsec模式 然后配置加密映射将所有IPsec策略细节集中到一起
步骤1 为获得最佳的安全和性能选择IPsec算法和参数
步骤2 选择变换,如果需要,选择一个变换集
步骤3 确定IPsec对等体详细信息 对等体:别的CISCO路由器 cisco pix防火墙 CISCO ×××客户端 CA服务器 符合IPSEC RFC的其他供 货商的IPSEC产品
步骤4 确定将要保护的主机IP地址和应用
步骤5 确定选择手动初始化或通过IKE初始化SA
CISCO IOS软件支持的IPsec变换集
AH变换集
变换集 说明
ah-md5-hmac AH-HMAC-MD5变换集
ah-sha-hmac AH-HMAC-SHA变换集
AH很少使用,因为esp-sha-hmac和esp-md5-hmac变换集可用于认证。AH变换集模式也和NAT或PAT不兼容
ESP变换集
变换集 说明
esp-aes 128位AES加密ESP算法
esp-aes 192位AES加密ESP算法
esp-aes 256位AES加密ESP算法
esp-des 使用DES加密的ESP变换集 56位
esp-3des 使用3DES加密的ESP变换集 168位
esp-md5-hmac 带hmac-md5认证的esp-des或esp-3des变换集 为ESP数据包提供附加的完整性检测
esp-sha-hmac 带hmac-sha认证的esp-des或esp-3des变换集 为ESP数据包提供附加的完整性检测
esp-null 在生产环境不用它,因为不保护数据流
可接收的变换集组合
变换类型 允许变换组合
AH变换 AH-MD5-HMAC 使用MD5的AH认证算法
AH-SHA-HMAC 使用SHA的AH认证算法
ESP加密变换 ESP-DES 使用56位DES的ESP加密算法
ESP-3DES 使用168位DES的ESP加密算法 3DES
ESP-NULL 没有加密算法
ESP认证变换 ESP-MD5-HMAC 使用MD5的ESP认证算法
ESP-SHA-HAMC 使用SHA的ESP认证算法
IP压缩变换 COMP-LZS 使用LZS的IP压缩算法
4确保网络在没有加密的状态下正常工作 在配置IPsec对等体之前,确保使用想要的IP服务器的基本连接已经在IPsec对等体之间建立
5确保访问控制列表ACL和IPsec兼容 确保边界路由器和IPsec对等体路由器接口允许IPsec流量通过,通过参看show access-list
2 配置IKE
步骤1 crypto isakmp enable 打开IKE 如果需要关闭,在前面加no :no crypto isakmp enable
步骤2 crypto isakmp policy 创建IKE策略
crypto isakmp policy priority (1-10000)1为最高优先级,使用该命令后,进入isakmp策略配置命令模式:
isakmp配置命令
关键字 可接受的值 默认值 描述
des 56位DES-CBC des 消息加密算法
sha SHA-1 Sha 消息完整性(散列)算法
md5 MD5
rsa-sig RSA ras-sig 对等体认证方法
rsa-encr RSA
pre-share Pre-shared keys
1 768 1 密钥交换参数
2 1024
5 1536
- 能指定任何秒数 86400秒 ISAKMP建立的SA生命期:使用默认就可以
配置实例:
config t
crypto isakmp policy 110
authentication pre-share
encryption des
group 1
hash md5
lifetime 86400
IKE策略协商过程
配置ISAKMP身份 crypto isakmp identity [address|hostname] ISAKMP协商过程中,IPsec对等体用预共享密钥和ISAKMP标识来互相认证。
步骤3 crypto isakmp key 配置预共享密钥
只要在ISAKMP策略中指定预共享密钥,则必须配置该密钥。
crypto isakmp key keystring address peer-address 前面加no可以删除预共享密钥
crypto isakmp key keystring hostname peer-hostname
keystring--指定预共享密钥,不超过128字节的数字和字母的任意组合,在对等体上预共享密钥必须相同
peer-address--远程对等体IP地址
peer-hostname--远程对等体主机名
步骤4 show crypto isakmp policy 验证IKE配置
验证IKE配置:show crypto isakmp policy
3 配置IPSEC
步骤1 crypto ipsec transform-set 配置变换集
在配置cisco ios ipsec中第一个主要步骤是用ipsec策略来定义一个变换集
变换集:独立的ipsec变换的组合,这些IPsec变换是设置用来为流量制订特定的安全策略的。在ISAKMP IPSEC SA的协商过程中它发生在IKE阶段2快 速模式中,两端的对等体同意使用一个特定的变换集来保护数据特定的数据流。
变换集包含以下IPsec元素:
有效载荷认证机制 AH变换
有效载荷加密机制 ESP变换
IPSEC 模式(传输模式和隧道模式)
变换集等于AH变换,ESP变换和IPsec模式的结合,限制于一个AH变换和一到两个ESP变换。用crypto ipsec transform-set全局配置命令来定义一个 变换集,加no可以删除变换集
crypto ipsec transform-set transform-set-name transform1 [transform2[transform3]]
transform-set-name 指定要建立的变换集名称
最多指定3个变换
可以配置多个交换集,然后在加密映射条目中指定一个和多个变换集。
当ISAKMP不被用来建立SA时,必须使用单个变换集,变换集不用经过协商。
编辑变换集:1从加密映射中删除变换集
2从全局配置中删除变换集
3用修正值重新输入变换集
4将变换集指定到加密映射
5用clear crypto sa命令来清除路由器上所有的IPsec SA
clear crypto sa [peer [vrf fvrf-name]address |map map-name|entry destination-address
protocal spi|counters|vrf ivff-name]
peer 删除特定的对等体所有的ipsec SA
map 删除命令的加密映射集所有IPsec SA
map-name 指定加密映射集的名称
entry 用指定的地址,协议和SPI删除IPsec SA
destination-address 指定远程对等体的ip地址
6观察SA协商,确保它正常工作
变换集协商:通过使用之前配置的变换集,在IKE阶段2快速模式过程中协商变换集。
可以配置多个变换集,然后再加密映射条目中指定一个或多个变换集。最高安全到最低安全,配置变换作为每个策略。
步骤2 crypto ipsec security-association 配置全局IPsec安全关联生命期
crypto ipsec security-association lifetime [seconds |kilobytes]
步骤3 access-list命令配置加密ACL
加密ACL的目的
用于加密ACL的扩展IP ACL
配置对称对等体加密ACL
步骤4 crypto map 配置加密映射
加密映射的目的
建立加密映射条目来为IPsec建立SA参数,配合IPsec 不同部分。
加密映射参数
加密映射定义以下参数:
要使用的访问列表 远程×××对等体 要使用的变换集 密钥管理方法 SA生命期
如果存在以下任何情况,必须为给定的接口建立多个加密映射条目:
配置IPsec加密映射
crypto map map-name seq-num cisco(默认值,CET会代替IPsec)|ipsec-manual (不用ISAKMP来建立IPsec SA)|ipsec-isakmp
(用ISAKMP来建立IPsec SA)
实例:为路由器A配置加密映射
config t
crypto map mymap 110 ipsec-isakmp
match address 110
set peer 172.30.2.2
set peer 172.30.3.2
set pfs group1
set transform-set mine
set security-association lifetime 86400
步骤5 interface 和 crypto 命令将加密映射应用到终止或发起接口
crypto map map-name
4 测试和验证IPSEC
show crypto isakmp policy 显示配置的IKE策略
show crypto ipsec transform set 显示配置的变换集
show crypto ipsec sa 显示ipsec sa的当前状态
show crypto map 查看配置的加密映射
debug crypto ipsec 和debug crypto isakmp命令通过cisco ios平台来调试IKE和ipsec流量
5 isakmp加密系统错误信息
%CRYPTO-6-IKMP_SA_NOT_AUTH:cannot accept quick mode exchange from [IP_address]if sa is not authenticated! 远程对等体的ISAKMP SA没有认证 ,而对等体却试图开始开速模式交换
%CRYPTO-6-IKMP_SA_NOT_OFFERED:remote peer [IP_address] responded with attribute not offered or changed 回应者用一个发起者没有提供的 ISAKMP策略作为回应。
手动配置IPSec
可以手动配置密钥。
在加密映射配置模式下,使用set session-key命令为加密映射条目手动指定IPSec会话密钥。
set session-key {inbound |outbound} ah spi hex-key-string
set session-key {inbound |outbound} esp spi cipher hex-key-string [authenticator hex-key-string]
inbound 设定输入IPsec会话密钥
outbound 设定输出IPsec会话密钥
ah 为AH协议设置IPsec会话密钥
esp 为ESP协议设置IPsec会话密钥
spi 指定SPI,该数字用来唯一确定SA
hex-key-string 指定会话密钥,用十六进制格式输入
cipher 指示密钥字符串用于ESP加密变换
authenticator(可选)
在一个对等体上的会话密钥必须和远程对等体的会话密钥相匹配,如果修改一个会话密钥,则在使用该密钥的SA被删除,被重新初始化
重点:不建议手动配置IPsec.CISCO建议使用ISAKMP来建立SA,因为通过手动配置确保两个对等体之间SA值匹配时很难的。
DH是一种更加安全的在对等体之间产生密钥的方法。
其他手动配置缺点:扩展性不好,而且不安全
手动建立SA不会过期
手动加密映射条目建立的SA只用于单一的数据流
标记为ipsec-manual的加密映射条目的ACL被限制为只能用一条permit语句,后面将被忽略。
使用RSA加密Nonces配置IPsec
RSA加密Nonces提供了认证IPsec对等体和DH密钥交换的一种有力的方法。RSA加密Nonces提供了不可否认性,一种可以阻止第三方在网络上跟踪活 动的属性。RSA加密Nonces要求对等体具有彼此公钥,但不要使用CA。对等体有两种可以替代的方法来获取对方的公钥1手动配置和交换RSA密钥2与 远程对等体使用在之前的成功ISAKMP协商中使用的RSA签名
RSA加密Nonces配置过程:
任务1 为IKE和IPSEC准备
任务2 配置RSA密钥
步骤1 为SA密钥作计划
步骤2 配置路由器主机名和域名 hostname name ;ip domain-name name
步骤3 生成RSA密钥 crypto key generate rsa usage keys
步骤4 输入对等体的公钥
这里有好几个步骤,一定要注意:
crypto key pubkey-chain
crypto key pubkey-chain rsa
addressed-key key-address
named-key key-name
步骤5 验证密钥配置
show crypto key mypubkey rsa
show crypto key pubkey-chain rsa
步骤6 管理RSA密钥
crypto key zeroize rsa
任务3 配置IKE
任务4 配置IPSEC
任务5 测试和验证IPSEC
和IPSEC一起使用NAT
×××-IPSEC总结
cisco支持一下IPSEC标准:AH,ESP,DES,3DES,MD5,SHA,RSA签名,IKE,DH和CA
ipsec有5个步骤:确定感兴趣的流量,IKE阶段1,IKE阶段2,IPsec加密流量和隧道终结
ipsec SA包含目的地址,SPI,IPSEC变换,模式和SA生命值
在可以配置前定义详细的加密IKE和IPSEC策略
取确保路由器的ACL允许IPSEC流量
IKE策略定义在IKE协商过程中使用的参数
变换集确定IPSEC变换和模式
加密ACL确定要加密的流量
用show和debug命令来对IPSEC连接做测试和故障检测
ipsec也可以手动配置或使用加密的nonces
配置IKE预共享密钥的过程
1 为IKE和IPSEC准备
1检查当前配置 show running-configuration show crypto isakmp policy show crypto map
2确定IKE策略(IKE阶段1) 基于对等体的位置和数目,确定对等体之间的IKE策略
IKE阶段1:定义策略参数
参数 强 更强 参数 强 更强
加密算法 DES 3-DES 密钥交换 DH组1 DH组2
散列算法 MD5 SHA-1 IKE SA生命期 86400 <86400
认证方法 预共享 RSA加密
RSA签名
为一定用途建立IKE策略
IKE协商必须受到保护,在每个对等体同意一个通用的IKE策略时,每个IKE协商开始,该策略规定哪些安全参数将被用来保护之后的IKE协商。
两个对等体同意一个策略后,在每个对等体上建立起一个SA,确定策略的安全参数,,这些SA应用于随后的协商过程中的所有IKE流量。
定义IKE策略参数
IKE阶段1默认值
参数 接收的值 关键字 默认值
消息加密算法 DES Des DES
3-DES 3des DES
信息完整性散列算法 SHA-1 HMAC变种 sha SHA-1
MD5 HMAC变种 md5 SHA-1
对等体认证方法 预共享密钥 pre-share RSA签名
RSA加密的nonces rsa-encr RSA签名
RSA签名 sig RSA签名
密钥变换参数 768 位DH 1 768
1024 位DH 2 768
1536 位DH 5 768
亿建立的ISAKMP SA生命期 可以指定任何秒数 -- 86400秒(24×60×60一天)
举例:这里很简单,不做描述
3确定IKE策略(IKE阶段2) 指定IPsec对等体详细信息,ip地址 ip变换集 ipsec模式 然后配置加密映射将所有IPsec策略细节集中到一起
步骤1 为获得最佳的安全和性能选择IPsec算法和参数
步骤2 选择变换,如果需要,选择一个变换集
步骤3 确定IPsec对等体详细信息 对等体:别的CISCO路由器 cisco pix防火墙 CISCO ×××客户端 CA服务器 符合IPSEC RFC的其他供 货商的IPSEC产品
步骤4 确定将要保护的主机IP地址和应用
步骤5 确定选择手动初始化或通过IKE初始化SA
CISCO IOS软件支持的IPsec变换集
AH变换集
变换集 说明
ah-md5-hmac AH-HMAC-MD5变换集
ah-sha-hmac AH-HMAC-SHA变换集
AH很少使用,因为esp-sha-hmac和esp-md5-hmac变换集可用于认证。AH变换集模式也和NAT或PAT不兼容
ESP变换集
变换集 说明
esp-aes 128位AES加密ESP算法
esp-aes 192位AES加密ESP算法
esp-aes 256位AES加密ESP算法
esp-des 使用DES加密的ESP变换集 56位
esp-3des 使用3DES加密的ESP变换集 168位
esp-md5-hmac 带hmac-md5认证的esp-des或esp-3des变换集 为ESP数据包提供附加的完整性检测
esp-sha-hmac 带hmac-sha认证的esp-des或esp-3des变换集 为ESP数据包提供附加的完整性检测
esp-null 在生产环境不用它,因为不保护数据流
可接收的变换集组合
变换类型 允许变换组合
AH变换 AH-MD5-HMAC 使用MD5的AH认证算法
AH-SHA-HMAC 使用SHA的AH认证算法
ESP加密变换 ESP-DES 使用56位DES的ESP加密算法
ESP-3DES 使用168位DES的ESP加密算法 3DES
ESP-NULL 没有加密算法
ESP认证变换 ESP-MD5-HMAC 使用MD5的ESP认证算法
ESP-SHA-HAMC 使用SHA的ESP认证算法
IP压缩变换 COMP-LZS 使用LZS的IP压缩算法
4确保网络在没有加密的状态下正常工作 在配置IPsec对等体之前,确保使用想要的IP服务器的基本连接已经在IPsec对等体之间建立
5确保访问控制列表ACL和IPsec兼容 确保边界路由器和IPsec对等体路由器接口允许IPsec流量通过,通过参看show access-list
2 配置IKE
步骤1 crypto isakmp enable 打开IKE 如果需要关闭,在前面加no :no crypto isakmp enable
步骤2 crypto isakmp policy 创建IKE策略
crypto isakmp policy priority (1-10000)1为最高优先级,使用该命令后,进入isakmp策略配置命令模式:
isakmp配置命令
关键字 可接受的值 默认值 描述
des 56位DES-CBC des 消息加密算法
sha SHA-1 Sha 消息完整性(散列)算法
md5 MD5
rsa-sig RSA ras-sig 对等体认证方法
rsa-encr RSA
pre-share Pre-shared keys
1 768 1 密钥交换参数
2 1024
5 1536
- 能指定任何秒数 86400秒 ISAKMP建立的SA生命期:使用默认就可以
配置实例:
config t
crypto isakmp policy 110
authentication pre-share
encryption des
group 1
hash md5
lifetime 86400
IKE策略协商过程
配置ISAKMP身份 crypto isakmp identity [address|hostname] ISAKMP协商过程中,IPsec对等体用预共享密钥和ISAKMP标识来互相认证。
步骤3 crypto isakmp key 配置预共享密钥
只要在ISAKMP策略中指定预共享密钥,则必须配置该密钥。
crypto isakmp key keystring address peer-address 前面加no可以删除预共享密钥
crypto isakmp key keystring hostname peer-hostname
keystring--指定预共享密钥,不超过128字节的数字和字母的任意组合,在对等体上预共享密钥必须相同
peer-address--远程对等体IP地址
peer-hostname--远程对等体主机名
步骤4 show crypto isakmp policy 验证IKE配置
验证IKE配置:show crypto isakmp policy
3 配置IPSEC
步骤1 crypto ipsec transform-set 配置变换集
在配置cisco ios ipsec中第一个主要步骤是用ipsec策略来定义一个变换集
变换集:独立的ipsec变换的组合,这些IPsec变换是设置用来为流量制订特定的安全策略的。在ISAKMP IPSEC SA的协商过程中它发生在IKE阶段2快 速模式中,两端的对等体同意使用一个特定的变换集来保护数据特定的数据流。
变换集包含以下IPsec元素:
有效载荷认证机制 AH变换
有效载荷加密机制 ESP变换
IPSEC 模式(传输模式和隧道模式)
变换集等于AH变换,ESP变换和IPsec模式的结合,限制于一个AH变换和一到两个ESP变换。用crypto ipsec transform-set全局配置命令来定义一个 变换集,加no可以删除变换集
crypto ipsec transform-set transform-set-name transform1 [transform2[transform3]]
transform-set-name 指定要建立的变换集名称
最多指定3个变换
可以配置多个交换集,然后在加密映射条目中指定一个和多个变换集。
当ISAKMP不被用来建立SA时,必须使用单个变换集,变换集不用经过协商。
编辑变换集:1从加密映射中删除变换集
2从全局配置中删除变换集
3用修正值重新输入变换集
4将变换集指定到加密映射
5用clear crypto sa命令来清除路由器上所有的IPsec SA
clear crypto sa [peer [vrf fvrf-name]address |map map-name|entry destination-address
protocal spi|counters|vrf ivff-name]
peer 删除特定的对等体所有的ipsec SA
map 删除命令的加密映射集所有IPsec SA
map-name 指定加密映射集的名称
entry 用指定的地址,协议和SPI删除IPsec SA
destination-address 指定远程对等体的ip地址
6观察SA协商,确保它正常工作
变换集协商:通过使用之前配置的变换集,在IKE阶段2快速模式过程中协商变换集。
可以配置多个变换集,然后再加密映射条目中指定一个或多个变换集。最高安全到最低安全,配置变换作为每个策略。
步骤2 crypto ipsec security-association 配置全局IPsec安全关联生命期
crypto ipsec security-association lifetime [seconds |kilobytes]
步骤3 access-list命令配置加密ACL
加密ACL的目的
用于加密ACL的扩展IP ACL
配置对称对等体加密ACL
步骤4 crypto map 配置加密映射
加密映射的目的
建立加密映射条目来为IPsec建立SA参数,配合IPsec 不同部分。
加密映射参数
加密映射定义以下参数:
要使用的访问列表 远程×××对等体 要使用的变换集 密钥管理方法 SA生命期
如果存在以下任何情况,必须为给定的接口建立多个加密映射条目:
配置IPsec加密映射
crypto map map-name seq-num cisco(默认值,CET会代替IPsec)|ipsec-manual (不用ISAKMP来建立IPsec SA)|ipsec-isakmp
(用ISAKMP来建立IPsec SA)
实例:为路由器A配置加密映射
config t
crypto map mymap 110 ipsec-isakmp
match address 110
set peer 172.30.2.2
set peer 172.30.3.2
set pfs group1
set transform-set mine
set security-association lifetime 86400
步骤5 interface 和 crypto 命令将加密映射应用到终止或发起接口
crypto map map-name
4 测试和验证IPSEC
show crypto isakmp policy 显示配置的IKE策略
show crypto ipsec transform set 显示配置的变换集
show crypto ipsec sa 显示ipsec sa的当前状态
show crypto map 查看配置的加密映射
debug crypto ipsec 和debug crypto isakmp命令通过cisco ios平台来调试IKE和ipsec流量
5 isakmp加密系统错误信息
%CRYPTO-6-IKMP_SA_NOT_AUTH:cannot accept quick mode exchange from [IP_address]if sa is not authenticated! 远程对等体的ISAKMP SA没有认证 ,而对等体却试图开始开速模式交换
%CRYPTO-6-IKMP_SA_NOT_OFFERED:remote peer [IP_address] responded with attribute not offered or changed 回应者用一个发起者没有提供的 ISAKMP策略作为回应。
手动配置IPSec
可以手动配置密钥。
在加密映射配置模式下,使用set session-key命令为加密映射条目手动指定IPSec会话密钥。
set session-key {inbound |outbound} ah spi hex-key-string
set session-key {inbound |outbound} esp spi cipher hex-key-string [authenticator hex-key-string]
inbound 设定输入IPsec会话密钥
outbound 设定输出IPsec会话密钥
ah 为AH协议设置IPsec会话密钥
esp 为ESP协议设置IPsec会话密钥
spi 指定SPI,该数字用来唯一确定SA
hex-key-string 指定会话密钥,用十六进制格式输入
cipher 指示密钥字符串用于ESP加密变换
authenticator(可选)
在一个对等体上的会话密钥必须和远程对等体的会话密钥相匹配,如果修改一个会话密钥,则在使用该密钥的SA被删除,被重新初始化
重点:不建议手动配置IPsec.CISCO建议使用ISAKMP来建立SA,因为通过手动配置确保两个对等体之间SA值匹配时很难的。
DH是一种更加安全的在对等体之间产生密钥的方法。
其他手动配置缺点:扩展性不好,而且不安全
手动建立SA不会过期
手动加密映射条目建立的SA只用于单一的数据流
标记为ipsec-manual的加密映射条目的ACL被限制为只能用一条permit语句,后面将被忽略。
使用RSA加密Nonces配置IPsec
RSA加密Nonces提供了认证IPsec对等体和DH密钥交换的一种有力的方法。RSA加密Nonces提供了不可否认性,一种可以阻止第三方在网络上跟踪活 动的属性。RSA加密Nonces要求对等体具有彼此公钥,但不要使用CA。对等体有两种可以替代的方法来获取对方的公钥1手动配置和交换RSA密钥2与 远程对等体使用在之前的成功ISAKMP协商中使用的RSA签名
RSA加密Nonces配置过程:
任务1 为IKE和IPSEC准备
任务2 配置RSA密钥
步骤1 为SA密钥作计划
步骤2 配置路由器主机名和域名 hostname name ;ip domain-name name
步骤3 生成RSA密钥 crypto key generate rsa usage keys
步骤4 输入对等体的公钥
这里有好几个步骤,一定要注意:
crypto key pubkey-chain
crypto key pubkey-chain rsa
addressed-key key-address
named-key key-name
步骤5 验证密钥配置
show crypto key mypubkey rsa
show crypto key pubkey-chain rsa
步骤6 管理RSA密钥
crypto key zeroize rsa
任务3 配置IKE
任务4 配置IPSEC
任务5 测试和验证IPSEC
和IPSEC一起使用NAT
×××-IPSEC总结
cisco支持一下IPSEC标准:AH,ESP,DES,3DES,MD5,SHA,RSA签名,IKE,DH和CA
ipsec有5个步骤:确定感兴趣的流量,IKE阶段1,IKE阶段2,IPsec加密流量和隧道终结
ipsec SA包含目的地址,SPI,IPSEC变换,模式和SA生命值
在可以配置前定义详细的加密IKE和IPSEC策略
取确保路由器的ACL允许IPSEC流量
IKE策略定义在IKE协商过程中使用的参数
变换集确定IPSEC变换和模式
加密ACL确定要加密的流量
用show和debug命令来对IPSEC连接做测试和故障检测
ipsec也可以手动配置或使用加密的nonces
转载于:https://blog.51cto.com/wangxiang2010/142654
944
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
