以下是我所精心收集的×××理论知识部分,实验部分我将在×××分类的下一篇中作详细介绍。
IPsec ×××
路由的配置方法<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
目前,随着技术的不断创新,出现了很多新的
×××
技术,如
MPLS ×××
、
SSL ×××
等,但是
IPSec ×××
技术仍是市场主流的
×××
技术,目前构建企业
×××
时大多数都使用
IPSec
技术。
IPsec ( IP Security )协议是一个第三层隧道协议,但它不是一个单独的协议,它给出了应用于 IP 层上网络数据安全的一整套体系结构,包括网络认证协议( Authentication Header , AH )、封装安全载荷协议( Encapsulating Security Payload , ESP )、密钥管理协议( Internet Key Exchange , IKE )和用于网络认证及加密的一些算法等。
IPsec 规定了如何在对等层之间选择安全协议,及确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。
SA ( Security Associations ,安全联盟)的概念时 IPSec 的核心。 SA 定义了各种类型的安全措施,这些措施的内容包含了 IP 包加密解密的和认证的相关信息。措施的具体内容为:
* 提供的服务:提供加密或认证服务,或两者同时提供。
* 算法:服务采用的算法,例如:加解密使用 DES 或 3DES 算法;认证使用 MD5 或 sha-1 算法。
* 密钥:加密和认证算法中所使用的密钥以及密钥的声明周期等。
v 使用安全联盟( SA )是为了解决以下问题
§ 如何保护通信数据
§ 保护什么通信数据
§ 由谁实行保护
v 一个 SA 通常包含以下的安全参数
§ 认证 / 加密算法,密钥长度及其他的参数
§ 认证和加密所需要的密钥(如何保护)
§ 哪些数据要使用到该 SA (保护什么)
§ IPsec 的封装协议和模式(由谁实行)
一个 SA 由 3 个参数唯一确定: 目的 Ip 地址 、安全协议标识符以及 SPI ( Security Parameter Index ,安全参数索引)。
IPSec ××× 的配置
配置的步骤基本如下 :
1. 配置 IKE 的协商
2. 配置 IPSec 的协商
3. 配置端口的应用
4.IKE 的调试和排错
一.配置 IKE 协商
1. 启用 IKE
默认条件下, IKE 在 Cisco IOS 软件中时激活的。如果被人工关闭了,可用如下命令完成激活:
Router(config)#crypto isakmp enable
2. 建立 IKE 协商策略
命令如下:
Router(config)#crypto isakmp policy priority
其中, priority 是 IKE 策略的编号,取值范围为 1~10000 ,策略的编号越低,其优先级越高。
3. 配置 IKE 协商参数
Router(config-isakmp)#hash { md5 | sha1}
Hash 命令被用来设置密钥认证所用的算法,有 MD5 和 SHA-1 两种。 SHA-1 比 MD5 算法具有更高的安全性。
Router(config-isakmp)#encryption { des | 3des }
Encryption 命令被用来设置加密所使用的算法, 3DES 比 DES 算法拥有更大的强度,不易被破解。
( “|” 符号表示两个中选一个)
Router(config-isakmp)#authentication pre-share
这个命令告诉路由器要使用预先共享的密钥,此密码是手工指定的。
Router(config-isakmp)#lifetime seconds
Lifetime 命令声明了 SA 的生存时间,在超过生存时间后, SA 将被重新协商。至少为 60 。
4. 设置共享密钥和 对端地址
Router(config)# crypto isakmp key keystring address peer-address
SA 是单向的,因此要使用此命令来设置预先 共享的密码和对端的 IP 地址(可以理解为协商和握手) 。在设置密码时, ××× 链路两端的密码必须相同。
二.配置 IPSec 协商
1. 指定 Crypto 访问列表
Crypto 访问列表不像普通访问控制列表那样 “ 允许 ” 、 “ 拒绝 ” 流量,它在 ××× 隧道中定义什么样的报文将被 IPSec 加密传输,什么样的报文不用被加密而直接传输。
Crypto 访问列表必须是护卫镜像的。比如: 路由器 A 加密了所有流向路由器 B 的 TCP 流量,则路由器 B 必须加密流向路由器 A 的所有 TCP 的流量。
Router(config)# access-list access-list-number {deny | permit} protocol source source-wildcard destination destination-wildcard
例如:命令 access-list 10 permit ip host <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />10.0.0.1 host 10.0.0.2 ,它将令所用从 10.0.0.1 发往 10.0.0.2 的报文全部加密。
2. 配置 IPSec 传输模式
传输模式设置定义用于 ××× 隧道的认证类型、完整性和负载加密。
Router(config)# crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]
传输模式可选择的参数有:
*AH 验证参数: ah-md5-hmac 、 ah-sha-hmac
*ESP 加密参数: esp-des 、 esp-3des 、 esp-null
*ESP 验证参数: esp-md5-hma 、 esp-sha-hmac
每种参数类型中只可以选一种方式,但是可以同时选择 3 种传输模式。
三.配置端口应用
1 、设置 Crypto Map
以上配置完成了 ××× 隧道需要的信息,下面需要将它们整合在一起应用到一个接口上。
首先,创建 Crypto Map :
Router(config)# crypto map map-name seq-num ipsec-isakmp
其中,参数 ipsec-isakmp 表明此 IPSec 连接将采用 IKE 自动协商。参数 seq-num 表示此 map 的优先级,取值范围为 1~65535 ,值越小,优先级越高。
配置 Crypto Map :
Router(config-crypto-map)# match address access-list-number
指定 Crypto Map 使用的访问控制列表,参数 access-list-number 应该对应前面配置的 Crypto 访问控制列表的编号。
Router(config-crypto-map)# set peer ip_address
指定 Crypto Map 所对用 ××× 链路 对端的 IP 地址 。
Router(config-crypto-map)# set transform-set name
指定此 Crypto Map 所使用的传输模式,此模式应该在之前配置 IPSec 时已经定义,即此传输模式的名称应该用命令 crypto ipsec transform-set 配置的名称。
2. 应用 Crypto Map 到端口
Router(config)# interface interface_name interface_num
Router(config-if)# crypto map map-name
到此为止, ××× 就可以生效了。
四. IPSec ××× 配置的检查
v 查看 IKE 策略
Router# show crypto isakmp policy
v 查看 IPsce 策略
Router# show crypto ipsec transform-set
v 查看 SA 信息
Router# show crypto ipsec sa
v 查看加密映射
Router# show crypto map
IPsec ( IP Security )协议是一个第三层隧道协议,但它不是一个单独的协议,它给出了应用于 IP 层上网络数据安全的一整套体系结构,包括网络认证协议( Authentication Header , AH )、封装安全载荷协议( Encapsulating Security Payload , ESP )、密钥管理协议( Internet Key Exchange , IKE )和用于网络认证及加密的一些算法等。
IPsec 规定了如何在对等层之间选择安全协议,及确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。
SA ( Security Associations ,安全联盟)的概念时 IPSec 的核心。 SA 定义了各种类型的安全措施,这些措施的内容包含了 IP 包加密解密的和认证的相关信息。措施的具体内容为:
* 提供的服务:提供加密或认证服务,或两者同时提供。
* 算法:服务采用的算法,例如:加解密使用 DES 或 3DES 算法;认证使用 MD5 或 sha-1 算法。
* 密钥:加密和认证算法中所使用的密钥以及密钥的声明周期等。
v 使用安全联盟( SA )是为了解决以下问题
§ 如何保护通信数据
§ 保护什么通信数据
§ 由谁实行保护
v 一个 SA 通常包含以下的安全参数
§ 认证 / 加密算法,密钥长度及其他的参数
§ 认证和加密所需要的密钥(如何保护)
§ 哪些数据要使用到该 SA (保护什么)
§ IPsec 的封装协议和模式(由谁实行)
一个 SA 由 3 个参数唯一确定: 目的 Ip 地址 、安全协议标识符以及 SPI ( Security Parameter Index ,安全参数索引)。
IPSec ××× 的配置
配置的步骤基本如下 :
1. 配置 IKE 的协商
2. 配置 IPSec 的协商
3. 配置端口的应用
4.IKE 的调试和排错
一.配置 IKE 协商
1. 启用 IKE
默认条件下, IKE 在 Cisco IOS 软件中时激活的。如果被人工关闭了,可用如下命令完成激活:
Router(config)#crypto isakmp enable
2. 建立 IKE 协商策略
命令如下:
Router(config)#crypto isakmp policy priority
其中, priority 是 IKE 策略的编号,取值范围为 1~10000 ,策略的编号越低,其优先级越高。
3. 配置 IKE 协商参数
Router(config-isakmp)#hash { md5 | sha1}
Hash 命令被用来设置密钥认证所用的算法,有 MD5 和 SHA-1 两种。 SHA-1 比 MD5 算法具有更高的安全性。
Router(config-isakmp)#encryption { des | 3des }
Encryption 命令被用来设置加密所使用的算法, 3DES 比 DES 算法拥有更大的强度,不易被破解。
( “|” 符号表示两个中选一个)
Router(config-isakmp)#authentication pre-share
这个命令告诉路由器要使用预先共享的密钥,此密码是手工指定的。
Router(config-isakmp)#lifetime seconds
Lifetime 命令声明了 SA 的生存时间,在超过生存时间后, SA 将被重新协商。至少为 60 。
4. 设置共享密钥和 对端地址
Router(config)# crypto isakmp key keystring address peer-address
SA 是单向的,因此要使用此命令来设置预先 共享的密码和对端的 IP 地址(可以理解为协商和握手) 。在设置密码时, ××× 链路两端的密码必须相同。
二.配置 IPSec 协商
1. 指定 Crypto 访问列表
Crypto 访问列表不像普通访问控制列表那样 “ 允许 ” 、 “ 拒绝 ” 流量,它在 ××× 隧道中定义什么样的报文将被 IPSec 加密传输,什么样的报文不用被加密而直接传输。
Crypto 访问列表必须是护卫镜像的。比如: 路由器 A 加密了所有流向路由器 B 的 TCP 流量,则路由器 B 必须加密流向路由器 A 的所有 TCP 的流量。
Router(config)# access-list access-list-number {deny | permit} protocol source source-wildcard destination destination-wildcard
例如:命令 access-list 10 permit ip host <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />10.0.0.1 host 10.0.0.2 ,它将令所用从 10.0.0.1 发往 10.0.0.2 的报文全部加密。
2. 配置 IPSec 传输模式
传输模式设置定义用于 ××× 隧道的认证类型、完整性和负载加密。
Router(config)# crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]
传输模式可选择的参数有:
*AH 验证参数: ah-md5-hmac 、 ah-sha-hmac
*ESP 加密参数: esp-des 、 esp-3des 、 esp-null
*ESP 验证参数: esp-md5-hma 、 esp-sha-hmac
每种参数类型中只可以选一种方式,但是可以同时选择 3 种传输模式。
三.配置端口应用
1 、设置 Crypto Map
以上配置完成了 ××× 隧道需要的信息,下面需要将它们整合在一起应用到一个接口上。
首先,创建 Crypto Map :
Router(config)# crypto map map-name seq-num ipsec-isakmp
其中,参数 ipsec-isakmp 表明此 IPSec 连接将采用 IKE 自动协商。参数 seq-num 表示此 map 的优先级,取值范围为 1~65535 ,值越小,优先级越高。
配置 Crypto Map :
Router(config-crypto-map)# match address access-list-number
指定 Crypto Map 使用的访问控制列表,参数 access-list-number 应该对应前面配置的 Crypto 访问控制列表的编号。
Router(config-crypto-map)# set peer ip_address
指定 Crypto Map 所对用 ××× 链路 对端的 IP 地址 。
Router(config-crypto-map)# set transform-set name
指定此 Crypto Map 所使用的传输模式,此模式应该在之前配置 IPSec 时已经定义,即此传输模式的名称应该用命令 crypto ipsec transform-set 配置的名称。
2. 应用 Crypto Map 到端口
Router(config)# interface interface_name interface_num
Router(config-if)# crypto map map-name
到此为止, ××× 就可以生效了。
四. IPSec ××× 配置的检查
v 查看 IKE 策略
Router# show crypto isakmp policy
v 查看 IPsce 策略
Router# show crypto ipsec transform-set
v 查看 SA 信息
Router# show crypto ipsec sa
v 查看加密映射
Router# show crypto map
转载于:https://blog.51cto.com/long007/369167
3862
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
