R1(配置)#crypto?
動態映射指定動態加密映射模板
//創建或修改動態加密映射表。
ipsec配置IPSEC策略
//創建IPSec安全策略
isakmp配置ISAKMP策略
//創建IKE策略
關鍵的長期關鍵操作
//為路由器的SSH加密會話生成加密密鑰。後面是數值,是密鑰模數大小,單位是bit。
映射輸入加密映射
//創建或修改通用加密映射表。
路由器(配置)#加密動態映射?
WORD動態加密映射模板標記
//WORD是動態加密映射表的名稱。
路由器(配置)#加密ipsec?
安全關聯安全關聯參數
//無需配置即可在映射中指定ipsec安全關聯生存期。
transform-set定義轉換和設置
//定義ipsec轉換集(安全協議和算法的可行組合)
路由器(配置)#crypto isakmp?
客戶端設置客戶端配置策略
//建立地址池
啟用啟用ISAKMP
//啟動IKE策略,默認情況下啟動。
遠程對等方的密鑰集預共享密鑰
//設置密鑰
策略為ISAKMP保護套件設置策略
//設置IKE策略的優先級。
路由器(配置)#加密密鑰?
生成生成新密鑰
//生成新密鑰
歸零移除鍵
//移除密鑰
路由器(配置)#加密映射?
WORD加密映射標簽
//WORD是映射表的名稱。
第二,壹些重要的訂單。
路由器(配置)#加密isakmp策略?
& lt1-10000 & gt;保護套件的優先級
//設置IKE策略,後面是1-10000的數字,代表策略的優先級。
路由器(配置)# cryptoisakmp policy 100//進入IKE策略配置模式進行如下配置。
路由器(config-isakmp)#加密?//設置‘加密方式,有以下三種。
3des三密鑰三重des
aes AES -高級加密標準
des DES -數據加密標準(56位密鑰)。
路由器(config-isakmp)#hash?//采用的哈希算法MD5為160位,sha為128位。
md5消息摘要5
sha安全散列標準
路由器(config-isakmp) #認證預共享//采用預* *共享密鑰的認證方式。
路由器(配置-isakmp)#組?//指定密鑰的位數。數字越低,安全性越高,但加密速度越慢。
1迪菲-赫爾曼集團
2迪菲-赫爾曼集團2
5迪菲-赫爾曼集團5
路由器(config-isakmp)#生存期?//指定安全關聯生存期,該生存期為60-86400秒。
& lt60-86400 >生命周期(秒)
路由器(配置)#加密isakmp密鑰***地址XXX。XXX.XXX.XXX
//設置IKE交換的密鑰,* * *表示密鑰組成,xxx.xxx.xxx表示對方的IP地址。
路由器(配置)#加密ipsec轉換集zx?
//設置IPsec交換集,設置加密方式和認證方式。zx是交換集的名稱,可以自己設置。兩端名稱可以不同,但其他參數要壹致。
ah-md5-hmac AH-HMAC-MD5變換
阿-沙-hmac阿-HMAC-沙變換
使用3DES(EDE)密碼的esp-3des ESP變換(168位)
使用aes密碼的esp-aes ESP轉換
使用des密碼的esp-des ESP轉換(56位)
使用HMAC-MD5驗證的esp-md5-hmac ESP轉換
使用hmac沙認證的esp-sha-hmac ESP變換
示例:router(config)# crypto IPSec transform-set zxep-desesp-MD5-hmac。
路由器(配置)#加密映射map_zx 100 ipsec-isakmp
//創建加密映射表,表名為zx,可以自定義,優先級為100(可選範圍:1-65535)。如果有多個表,數字越小,優先級越高。
路由器(配置加密映射)#匹配地址?//使用ACL定義加密通信。
& lt100-199 & gt;IP訪問列表號碼
WORD訪問列表名稱
路由器(配置加密映射)#set?
對等允許的加密/解密對等。//標識另壹臺路由器的IP地址。
Pfs指定pfs設置//指定上面定義的密鑰長度,即group。
Security-association安全關聯參數//指定安全關聯的生存期。
transform-set按優先級順序指定轉換集列表
//指定加密映射使用的IPSEC交換集。
路由器(配置-if)#加密映射zx
//進入路由器的指定接口,將加密映射應用到該接口,其中zx是加密映射的名稱。
第三,壹個配置實驗。
實驗拓撲圖:
1上的配置。R1。
路由器& gt使能夠
路由器#配置終端
輸入配置命令,每行壹個。以CNTL/Z結尾。
路由器(配置)#主機名R1
//配置IKE策略
R1(配置)#加密isakmp啟用
R1(配置)#加密isakmp策略100
R1(配置-isakmp)#加密des
R1(配置-isakmp)#哈希md5
R1(配置-isakmp)#身份驗證預共享
R1(配置-isakmp)#組1
R1(配置-isakmp)#生存期86400
R1(配置-isakmp)#退出
//配置IKE密鑰
R1(配置)#crypto isakmp密鑰123456地址10.1.1.2
//創建IPSec交換集
R1(配置)#加密ipsec轉換集zx esp-des esp-md5-hmac
//創建地圖加密地圖
R1(配置)#加密映射zx_map 100 ipsec-isakmp
R1(配置加密映射)#匹配地址111
R1(配置加密映射)#設置對等項10.1.1.2
R1(配置加密映射)#set transform-set zx
R1(配置加密映射)#設置安全關聯生存期秒數86400
R1(配置加密映射)#設置pfs組1
R1(配置加密映射)#退出
//配置ACL
R1(配置)#訪問列表111允許IP 192.168.1.10 0 . 0 . 0 . 255 192.168 . 2 . 10 . 0 . 0 . 255
//將加密映射應用到接口
R1(配置)#接口s1/0
R1(配置-if)#加密映射zx_map
2.2.R2上的配置
與R1的配置基本相同,只需要修改以下命令:
R1(配置)#crypto isakmp密鑰123456地址10.1.1.1
R1(配置加密映射)#設置對等項10.1.1.1
R1(配置)#訪問列表111允許IP 192.168 . 2 . 10 0 . 0 . 0 . 255 192.168.1.10 0 . 0 . 0 . 255
3.實驗調試。
分別在R1和R2上使用以下命令查看配置信息。
r 1 #顯示加密ipsec?
sa IPSEC SA表
轉換集加密轉換集
r 1 #顯示加密isakmp?
策略顯示ISAKMP保護套件策略
sa顯示ISAKMP安全協會
第四,相關知識點。
對稱加密或私鑰加密:加密和解密使用相同的私鑰。
數據加密標準
3DES - 3三重數據加密標準
AES -高級加密標準
壹些技術提供身份驗證:
MAC消息認證碼
基於HMAC散列的消息認證碼
MD5和SHA是提供身份驗證的哈希函數。
對稱加密用於大容量數據,因為非對稱加密站使用大量cpu資源。
不對稱或公鑰加密:
RSA裏維斯特-沙米爾-阿德爾曼
用公鑰加密,用私鑰解密。公鑰是公開的,但只有私鑰的所有者才能解密它。
兩種常用的哈希算法:
HMAC-MD5使用* *的128位來共享私鑰。
HMAC-沙-1使用160位的私鑰。
ESP協議:用於提供機密性、數據源驗證、無連接完整性和抗重放服務,通過阻止流量分析來限制流量的機密性。這些服務是在SA建立和實施時選擇的。
加密是通過DES或3DES算法完成的。可選的身份驗證和數據完整性由HMAC、鍵控SHA-I或MD5提供。
IKE - internet密鑰交換:提供IPSEC對等體驗證書,協商IPSEC密鑰,協商IPSEC安全關聯。
實現IKE的組件
1: DES,3des用於加密。
2:基於公鑰* * *的Diffie-Hellman加密協議允許對方在不安全的通道上建立公鑰* * *密鑰,用於在IKE中建立會話密鑰。組1表示768位,組2表示1024位。
3: MD5,SHA——驗證數據包的哈希算法。基於公鑰的RAS簽名加密系統