×××分为二层隧道协议和三层隧道协议
一、 第二层隧道协议有PPTP L2F L2TP 主要用作远程访问×××的隧道协议
第二层隧道协议建立在点对点的协议PPP的基础上的,充分利用了PPP支持多协议的特性,先把ip协议封装到PPP帧中,再把整个数据帧封装到隧道协议中,由于 这种双层封装方法形成的数据包依靠第二层(数据链路层)协议进行传输,所以称之为第二层隧道协议。
二、第三层隧道协议有GRE协议和IPsec协议 用于站点到站点和远程访问×××
第三层隧道协议是吧各种网络协议直接封装到隧道协议中,形成数据包依靠第三层(网络层)协议进行传输,称之为第三层隧道协议。
三、信息加密技术
1、对称加密算法——共享密钥密码系统 DES 3DES 加密和解密使用相同的密钥值
2、非对称加密算法——公钥密码系统 RSA 公钥加密私钥解密 私钥加密公钥解密
3、单项散列算法 hash哈希值 MD5和SHA-1 其中MD5可产生128位散列值 SHA-1可产生160位散列值 单项散列算法通常被用于验证发送数据的完整性和一致性,信息发送人使用散列算法生成数据的散列值并加密他然后将它与数据本身一起发送,而收件人同事解密数据 和散列值,并用接收到的数据产生另外一个散列值,然后将两个散列值进行比较,相同则说明数据没有被更改。
IPsec×××
1、AH(网络认证)只提供身份验证 利用单项散列算MD5 SHA-1
2、ESP(封装安全载荷)提供数据的加密技术 DES 3DES
3、安全联盟 SA 提供服务 算法 和密钥 是单项的安全服务协议 主要对加密和解密进行协商
4、IKE(Internet密钥交换)SA可以通过密钥管理协议自动协商
IPsec×××的配置(Cisco设备)
配置IKE协商
配置IPsec协商
配置端口应用
具体设置:
1、配置IKE协商
3、配置端口应用
现在已经有了所有构造×××隧道需要的信息,下面需要将它们整合在一起应用到一个接口上,用crypto map命令
IPsec×××配置的检查
Router#show crypto isakmp policy 显示所有尝试协商策略以及最后默认策略设置
Router#show crypto ipsec transform-set 显示路由器上设置的transform-set
Router#show crypto ipsec sa 显示当前安全联盟使用的设置
Router#show crypto map 显示所有配置在路由器上的crypto map
IPsec×××配置的检查
Router#show crypto isakmp policy 显示所有尝试协商策略以及最后默认策略设置
Router#show crypto ipsec transform-set 显示路由器上设置的transform-set
Router#show crypto ipsec sa 显示当前安全联盟使用的设置
Router#show crypto map 显示所有配置在路由器上的crypto map
×××配置实例
RouterA>
RouterA >en
RouterA #config t
RouterA (config)#interface e0/0
RouterA (config-if)#ip address 50.50.50.50 255.255.255.0
RouterA (config-if)#no shut
RouterA (config-if)#exit
RouterA (config)#interface s0/0
RouterA (config-if)#ip address <?xml:namespace prefix = st1 />20.20.20.21 255.255.255.0
RouterA (config-if)#no shut
RouterA (config-if)#
Router>EN
Router#conf t
Router(config)#hostname RouterB
RouterB(config)#interface s0/0
RouterB(config-if)#ip address 20.20.20.20 255.255.255.0
RouterB(config-if)#no shut
RouterB(config-if)#exit
RouterB(config)#interfacee0/0
RouterB(config-if)#ip address 60.60.60.60 255.255.255.0
RouterB(config-if)#no shut
RouterA(config)#ip route 0.0.0.0 0.0.0.0 20.20.20.20
RouterB(config)#ip route 0.0.0.0 0.0.0.0 20.20.20.21
RouterA(config)#crypto isakmp policy 1
RouterA(config-isakmp)#hash md5
RouterA(config-isakmp)#authentication pre-share
RouterA(config-isakmp)#exit
RouterA(config)#crypto isakmp key benet-password address 20.20.20.20
RouterA(config)#
RouterB(config)#crypto isakmp policy 1
RouterB(config-isakmp)#hash md5
RouterB(config-isakmp)#authentication pre-share
RouterB(config-isakmp)#exit
RouterB(config)#crypto isakmp key benet-password address 20.20.20.21
RouterB(config)#
RouterA(config)#crypto ipsec transform-set benetset ah-md5-hmac esp-des
RouterA(config)#access-list 101 permit ip 50.50.50.0 0.0.0.255 60.60.60.0 0.0.0.255
RouterA(config)#
RouterB(config)#crypto ipsec transform-set benetset ah-md5-hmac esp-des
RouterB(config)#access-list 101 permit ip 60.60.60.0 0.0.0.255 50.50.50.0 0.0.0.255
RouterA(config)#
RouterA(config)#crypto map benetmap 1 ipsec-isakmp
RouterA(config-crypto-map)#set peer 20.20.20.20
RouterA(config-crypto-map)#set transform-set benetset
RouterA(config-crypto-map)#match address 101
RouterA(config-crypto-map)#exit
RouterA(config)#interface s0/0
RouterA(config-if)#crypto map benetmap
RouterB(config)#crypto map benetmap 1 ipsec-isakmp
RouterB(config-crypto-map)#set peer 20.20.20.21
RouterB(config-crypto-map)#set transform-set benetset
RouterB(config-crypto-map)#match address 101
RouterB(config-crypto-map)#exit
RouterB(config)#interface s0/0
RouterB(config-if)#crypto map benetmap
转载于:https://blog.51cto.com/leiyu/273590
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
