1. ×××的模式:

①传输模式:适应于局域网,效率高,IP包头未被保护,只保护数据

②隧道模式:适应于互联网,IP包头被保护,安全性高

  1. ×××类型:

①站点到站点:总公司和分公司之间

②远程访问:个人与公司间

  1. 加密算法:

对称加密算法:加解密的密钥相同,类型:des    3des    aes

非对称加密算法:使用一对公钥和私钥,互相加解密,公钥公开,私钥持有者保存,

               主要算法有:rsa    dsa    dh

验证算法:md5和sha

  1. ISAKMP/IKE阶段1:管理连接阶段   500/udp

配置传输集参数:加密算法、验证算法、验证类型、DH密钥组、生存周期

ISAKMP/IKE阶段2:数据连接   4500/udp

定义×××间流量:ACL

定义保护数据的安全协议(SA)

AH:只验证,验证IP包头,安全,但不支持NAT

ESP:验证、加密,支持NAT

  1. IPSec  ×××的配置:

(config)#crypto  isakmp  policy  1         管理连接

#encryption  3des(加密算法)

#hash  sha(验证算法)

#authentication  pre-share(预先共享方法)

#group  2|1|5(指定DH密钥组)

#lifetime  10000(秒)(管理连接断开时间)

(config)#crypto  isakmp  key  0  address  对方IP(共享密钥)

                          零,明文

      访问控制触发 ×××

(config)#access-list 100 permit ip  192.168.1.0  0.0.0.255  172.16.10.0  0.0.0.255

      加密和认证算法要相同

(config)#crypto  ipsec  transform-set  t352  esp-des  ah-sha-hmac(加密和验证)

       #mode  tunnel(×××模式)

       #exit

(config)#crypto  ipsec  security-association  lifetime  seconds 1800(秒)(断开时间)

(config)#crypto  map  hanming  1  ipsec-isakmp        映射MAP

       #set  peer  202.2.2.2(对方IP)

       #set  transform-set  t352

       #match  address  100(ACL编号)

       #exit

(config)#int  f1/0(外部接口)

       #crypto  map  hanming(MAP名字)