CiscoRouteL2LIPsecVPN配置详细说明文档

v_naga
2 ℃
2020-01-11

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

IPsec介绍一、密钥对称密钥特点：同一个密钥用于加解密优点：速度快安全紧凑缺点：明文传输共享密钥，容易出现中途劫持和窃听的问题。密钥数量是以参与者数量平方数量增长（指数增长）。因为数量过多，所以管理和存储多有不便。不支持数字签名非对称密钥特点：公钥加密，私钥解密。仅仅用于：密钥交换和数字签名优点：安全，因为不必发送密钥给接收者，所以不必担心中途被劫持。不需要实现和个参与者之间建立关系来交换密钥。支持数字签名缺点：加解密速度慢密文大小变大二、加密DES–CreatedbyIBM,56-bitkey；3DES–UsesthreeDESkeysoneachblockofdatatocreate168-bitkeys；AES–Newer，MOREefficientalgorithm，128-，192-，and256-bit…orlager；RSA-DH–usedcommonlyonVPNconnectionstoallowsecuretransferofsharedsecretkeys，768-，1024-，1536-bit…Orlager三、散列函数特点：固定大小雪崩效应单向计算，不可逆不重复算法：MD5SHA-1四、ipsec组成部分ESP(负载安全封装)协议（封装）认证头（AH）协议（封装）Internet，密钥交换（lke）协议五、ipsec工作模式TransportMode将AH头或者ESP头插入到原有数据包中，一边用在通讯点和加密点相同的情况下。TunnelMode将原有数据包再次封装，一般用在通讯点和加密点不同的情况下。六、IKE介绍IKE负责建立和维护IKESA和IPsecSA。功能主要体现在如下几个方面：对双方进行验证交换公共密钥，产生密钥资源，管理密钥协商协议参数（封装，加密，验证…）一、L2L俩端固定ip配置：(一)配置方法一R1:cryptoisakmppolicy10encr3deshashmd5authenticationpre-sharegroup2cryptoisakmpkeyciscoaddress202.100.1.2cryptoipsectransform-setipsecesp-3desesp-md5-hmaccryptomapipsec10ipsec-isakmpsetpeer202.100.1.2settransform-setipsecmatchaddressipsecinterfaceLoopback0ipaddress1.1.1.1255.255.255.0interfaceFastEthernet0/0ipaddress202.100.1.1255.255.255.0cryptomapipseciproute0.0.0.00.0.0.0202.100.1.2ipaccess-listextendedipsecpermitip1.1.1.00.0.0.2552.2.2.00.0.0.255R2:cryptoisakmppolicy10encr3deshashmd5authenticationpre-sharegroup2cryptoisakmpkeyciscoaddress202.100.1.1cryptoipsectransform-setipsecesp-3desesp-md5-hmaccryptomapipsec10ipsec-isakmpsetpeer202.100.1.1settransform-setipsecmatchaddressipsecinterfaceLoopback0ipaddress2.2.2.1255.255.255.0interfaceFastEthernet0/0ipaddress202.100.1.2255.255.255.0cryptomapipseciproute0.0.0.00.0.0.0202.100.1.1ipaccess-listextendedipsecpermitip2.2.2.00.0.0.2551.1.1.00.0.0.255(二)配置方法二状态查看Router#showcryptoisakmpsaIPv4CryptoISAKMPSAdstsrcstateconn-idslotstatus202.100.1.1202.100.1.2QM_IDLE10010ACTIVEIPv6CryptoISAKMPSARouter#showcryptoengineconnectionsactiveCryptoEngineConnectionsIDInterfaceTypeAlgorithmEncryptDecryptIP-Address3Fa0/0IPsec3DES+MD500202.100.1.24Fa0/0IPsec3DES+MD500202.100.1.21001Fa0/0IKEMD5+3DES00202.100.1.2Router#clearcryptosaRouter#clearcryptoisakmp10sa