×××(virtual private network 虚拟专网),利用公用网络,按照相同的策略和规则,建立内部私有连接。
广泛的讲,***体系结构分为:站点到站点的***和远程访问***站点到站点的***:在这种情况下,同一个机构内部的多个网络站点位于不同的地理位置,这些站点使用***连接;(主要使用第三层隧道协议)
远程访问***:在这种情况下,***被用来连接一个单一的远程网络设备和企业的内联网。(使用第二层隧道协议)
***技术主要包括4个关键技术:
一、安全隧道技术
二、信息加密技术
三、用户认证技术
四、访问控制技术下面主要介绍一个IPSEC ×××的配置:(用于站点到站点之间的***)
一:配置IKE的协商
enable
config terminalcrypto isakmp enable (此命令用于启用IKE,在CISCO IOS软件中默认是激活的,如果被人工关闭,则要再次激活)
crypto isakmp policy 1 (此命令用于定义一个IKE策略号,取值范围为1-1000,策略编号越低,其优先级越高)
hash md5 (hash命令用来配置密钥认证所用的算法,有MD5和SHA-1两种,后者的安全性更高)
encryption des (encryption命令用来设置加密使用的算法,有DES和3DES两种,后者的安全性更高)
authentication pre-share(此命令告诉路由器要使用预先共享的密钥,此密码是手工指定的)
exit
crypto isakmp key 123 address 192.168.0.1 (此命令用来设置共享的密钥和对端的IP,这里假设密钥是123,对端的地址是192.168.0.1,当然在对端也要进行配置)
二:配置IPSEC相关参数:
access-list 101 permit ip 10.0.0.0 0.255.255.255 172.16.0.0 0.0.0.255 (这里使用扩展的访问控制列表定义一个内部主机访问外部主机的数据并全部加密,在对端也要进行相应的配置)crypto ipsec transform-set qwer ah-md5-hamc esp-des esp-md5-hma (qwer为此传输模式的名字)
这里配置的是IPSEC的传输模式,可以配置AH认证,ESP加密,ESP认证也可以进行配置,也可不进行配置
可选的参数主要有以下几种:
AH验证参数:ah-md5-hmac ah-sha-hamc
ESP加密参数:esp-des esp-3des esp-null
ESP验证参数:esp-md5-hma esp-sha-hamc配置端口的应用:
crypto map yang 1 ipsec-iskmp (参数psec-iskmp表明此IPSEC连接将采用IKE自动协商,参数1表明此map的优先级,取值范围为1-65535,值越小,优先级越高,yang则是此map的具体名称)match address 101 (101是前面定义的扩展访问控制列表的表号,此命令用于指定crypto map使用的访问控制列表)
set peer 192.168.0.1 (set peer指定了此crypto map所对应***链路对端的IP地址,此地址必须和前面IKE中配置的对端IP地址相同)
set transform-set qwer (set transform-set定义了此crypto map所使用的传输模式)
Exit
最后将crypto map应用到路由器的外部接口:
interface serial 0/0
crypto map yang
查看命令:
show crypto isakmp policy (显示所有尝试协商的策略以及最后的默认策略设置)show crypto ipsec transform-set (显示在路由器上设置的传输模式)
show crypto ipsec sa (显示当前安全联盟使用的设置)
show crypto map (显示所有配置在路由器上的crypto map )
配置实例:
R1的具体配置(左边的为R1)
Enable
Config terminal
Interface f0/0
Ip address 192.168.0.1 255.255.255.0
No shutdown
Exit
Interface serial 0/0
Encapsulation ppp
Ip address 141.10.25.33 255.255.255.252
Clock rate 128000
No shutdown
Exit
Ip route 0.0.0.0 0.0.0.0 s0/0
Crypto isakmp enable
Crypto isakmp policy 1
Hash md5
Encryption des
Authentication pre-share
group 1
lifetime 3600
Exit
Crypto isakmp key Naruto address 147.14.30.10
Access-list 101 permit ip 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255
Crypto ipsec transform-set heihei ah-md5-hamc esp-des
Crypto map yang 1 ipsec-isakmp
Match address 101
Set peer 147.14.30.10
Set transform-set heihei
Exit
Interface serial 0/0
Crypto map yang
End
Write
R2的具体配置:
Enable
Config terminal
Interface f0/0
Ip address 10.0.0.1 255.0.0.0
No shutdown
Exit
Interface serial 0/0
Encapsulation ppp
Ip address 147.14.30.10 255.255.255.252
No shutdown
Exit
Ip route 0.0.0.0 0.0.0.0 s0/0
Crypto isakmp enable
Crypto isakmp policy 2
Hash md5
Encryption des
Authentication pre-share
group 1
lifetime 3600
Exit
Crypto isakmp key Naruto address 141.10.25.33
Access-list 101 permit ip 10.0.0.0 0.255.255.255 192.168.0.0 0.0.0.255
Crypto ipsec transform-set haha ah-md5-hamc esp-des
Crypto map lin 1 ipsec-isakmp
Match address 101
Set peer 141.10.25.33
Set transform-set haha
Exit
Interface serial 0/0
Crypto map lin
End
Write
转载于:https://blog.51cto.com/redant/302519
扫一扫
406
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
