簡介在TCP/IP協(xié)議的開發(fā)早起,并沒有考慮到安全的因素�,也沒預(yù)料到該協(xié)議會成為以后互聯(lián)網(wǎng)應(yīng)用最廣的協(xié)議。隨著網(wǎng)絡(luò)的開放����、共享的信息帶來了便利的時候,也出現(xiàn)了病毒�、***等各種網(wǎng)絡(luò)***��,使得網(wǎng)絡(luò)存在大量不安全因素����、在這種情況下�����,各種網(wǎng)絡(luò)安全技術(shù)應(yīng)運而生�。 安全的含義:1、源認證 2���、完整性 3���、機密性 4、不可否認性早在古埃及的時候����,就有加密出現(xiàn)了 ,在二戰(zhàn)期間也大量被應(yīng)用���,只是原先的加密算法都是保密的��,沒有人知道原理是什么�,但是后來人們發(fā)現(xiàn)這種想法并不適應(yīng)現(xiàn)代的網(wǎng)絡(luò),在你認為這算法是安全的��,可能早就被人破解了�����,所以 基于這種情況�,后續(xù)的加密算法都處于公開的,任何人都可以獲取源代碼���,一個密碼系統(tǒng)的成功與否的關(guān)鍵是密鑰的生成、分發(fā)�����、管理�。保證密鑰的安全,現(xiàn)在hacker不再從算法本身找弱點����,而是從密鑰中需找機會。
加密的類型:1�����、對稱加密:應(yīng)用最早,也是最成熟的算法���,同一個密鑰來加解密�。
優(yōu)點:加解密速度快 �。 密文緊湊,加密前的數(shù)據(jù)與加密后的數(shù)據(jù)大小不會發(fā)生太大的改變
缺點:主要體現(xiàn)在密鑰的分發(fā)���、存儲�、管理對數(shù)字證書支持的缺點 ����,每使用一次對稱加密就需要產(chǎn)生一個新的密鑰,
而且在網(wǎng)絡(luò)上傳輸是非常困難的�����,如果使用者非常多�,那么就會以指數(shù)增長。
算法:DES | 3DES | CAST | IDEA | AES 常用于IPsec中有DES 3DES AES
2�、非對稱加密:同時生成公/私鑰,公鑰加密私鑰解�����,私鑰加密公鑰解,A與B同時有公/私鑰��,把公鑰發(fā)到互聯(lián)網(wǎng)上這時
候��, A如果想發(fā)送數(shù)據(jù)給B���,那么利用B的公鑰把數(shù)據(jù)進行加密得到一個Y 發(fā)給B�,B同時可以用私鑰來進
行解密���,把數(shù)據(jù)還原成沒加密的狀態(tài)
優(yōu)點:需要的密鑰數(shù)量小���、不存在密鑰分發(fā)問題��。 支持數(shù)字證書簽名�。
缺點:加解密數(shù)度非常慢,并且處理大量數(shù)據(jù)后比源數(shù)據(jù)大好幾倍�。
算法:Diffie-Hellman、RSA �����、 ECC IPsec只應(yīng)用了DH算法
它們的共同任務(wù)就是保證數(shù)據(jù)在不安全的網(wǎng)絡(luò)情況下,保證數(shù)據(jù)的安全����。對稱算法和非對稱算法都有各自的優(yōu)缺點,后來��,人們把兩者的優(yōu)點結(jié)合起來���,利用對稱算法來加密數(shù)據(jù)量大的數(shù)據(jù)�,而非對稱密鑰由于加解密非常慢�����,用于加密對稱算法的密鑰��。
例如:A有一個數(shù)據(jù)X發(fā)往B����,首先用對稱算法隨即生成一個Key,加密數(shù)據(jù)后得到Y(jié),這時候在用B公布在互聯(lián)網(wǎng)上的公鑰對這個Key進行非對稱加密����,得到一個H,這時候A把Y與H打包一起發(fā)送給B�����。B收到以后,用自己的私鑰把H解開得到之前的Key�����,然后對數(shù)據(jù)Y解開得到A原始的數(shù)據(jù)X���,由于Key的大小是固定的�����,所以這樣處理的數(shù)度大大提高�����。 2����、完整性2����、完整性:在傳輸數(shù)據(jù)的過程中�����,能確保數(shù)據(jù)信息沒有被修改過,這種算法叫做HASH���,通常HASH只是一個通常�����,具體的算法有MD5與SHA1��, SHA在研發(fā)的時候由于存在漏洞一直沒有被公布過�。
算法:包括MD5與SHA-1
它們都具有:一個不等長的輸入�,等到一個等長的輸出。MD5為128bit�,SHA-1 160bit
雪崩效應(yīng):只改動一點點數(shù)據(jù),輸出就會改變�����。 過程是不可逆的��。
有些人習(xí)慣把MD5這些作為加密看待��,但是它只是一個認證的能力���,保證數(shù)據(jù)沒有被修改過����。 不可否認性3、不可否認性:標明發(fā)起者發(fā)送這個數(shù)據(jù)后�����,不能否認不是它發(fā)送的��。比如 現(xiàn)實中的指紋���。
在我們常用的就是路由協(xié)議認證了���,在使用MD5認證的時候,并不單單使用MD5 而是會設(shè)置一個key�����,這個Key只有建立路由協(xié)議之間的路由器才知道��,每次路由更新會把更新的內(nèi)容與這個Key做HASH�,然后把路由信息與這個HASH結(jié)果發(fā)送給對方����,對方收到以后也用這路由信息加上共同的KEY做HASH�����,然后與收到的HASH做比較�����,相同就通過���。 我們稱這個技術(shù)為HMAC,具有一定的不可否認性和源認證的特點�����。另外一個就是數(shù)字簽名和CA數(shù)字證書 都具有源認證與不可否認性�。 IPsec協(xié)議它并不是一個具體的協(xié)議,而是一個框架�,由ESP(encapsulating security payload 封裝安全載荷) 、AH(Authentication Header 認證頭協(xié)議)��、IKE(Internet Key Exchange 因特網(wǎng)密鑰交換協(xié)議)組成�。先說說幾個概念性的東西
SA:安全聯(lián)盟 、SA是兩個實體經(jīng)過協(xié)商建立起來一種協(xié)定����,它們決定用來保護數(shù)據(jù)包安全的IPsec協(xié)議�����、連接模式����、HMAC功能與加密算法��、密鑰以及密鑰的有效時間存在時間等等�。任何IPsec實施方案會構(gòu)建一個SA數(shù)據(jù)庫 (S A D B ) 由他們來維護IPsec協(xié)議 ,用來保障數(shù)據(jù)包安全的SA記錄
SA是單向的:如果兩個主機(A與B)正在通過ESP進行安全通信�,那么主機A就需要一個SA,即SA(OUT) 用來處理出去的數(shù)據(jù)包(加密):另外還需要一個不同的SA����,即SA(IN),用來處理進入的數(shù)據(jù)包(解密)���。主機A的SA(OUT) 和主機B的SA (in) 將共享相同的加密參數(shù)(比如密鑰)
SA還是“與協(xié)議相關(guān)”的���。 每種協(xié)議都有一個SA 。如果主機A和B同時通過AH和ESP進行安全通信,那么每個主機都會針對每一個協(xié)議來構(gòu)建一個獨立的SA���。 SPD :安全策略數(shù)據(jù)庫SPD :安全策略數(shù)據(jù)庫 (在cisco H3C上就是感興趣流量)
1���、丟棄這個包�。此時包不會得以處理,只是簡單的丟掉 (PC支持����,思科上不支持)
2、繞過安全服務(wù): 在這種情況下���,IP層會在載荷內(nèi)增添IP頭�,然后分發(fā)IP包�����。 (相當(dāng)于感興趣流量��,不匹配的流量就正常走)
3�����、應(yīng)用安全服務(wù):假如已經(jīng)建立了SA,就會指向SA的指針���; 假如未建立SA,就會調(diào)用I K E�,將這個SA建立起來�����。具體由策略來決定��,如果規(guī)定IPsec應(yīng)用于數(shù)據(jù)包�����,那么在SA建立之前�����,數(shù)據(jù)包是不會被轉(zhuǎn)發(fā)的��。 (匹配了感興趣流量)
比如我們PC也能使用IPsec來保證數(shù)據(jù)的安全性�����,比如 路由器syslog信息 發(fā)送到服務(wù)器上必須保證安全���,可以通過IPsec來建立安全通道�。 cisco設(shè)備與微軟的兼容性最好,因為使用的IKE由它們共同開發(fā)的���。 
這里主要介紹ESP協(xié)議���,AH協(xié)議在IPv4的網(wǎng)絡(luò)并不適應(yīng)����,因為它會把整個IP頭部和數(shù)據(jù)部分做認證,只針對IP數(shù)據(jù)部分的服務(wù)類型字段��、標志�����、分片偏移�����、TTL�����、校驗和這些不會被加入認證中,但是源目IP是被認證的��,而在IPv4的網(wǎng)絡(luò)中�����,存在大量的NAT與PAT設(shè)備存在���,源地址被改變很常見�,這樣很容易導(dǎo)致認證的結(jié)果不匹配�。 IPsec的功能原本屬于IPv6中,后來挪移到IPv4中使用����,保證IPv4的網(wǎng)絡(luò)安全。 
ESP只對Payload Data到Next Header做加密��,認證是SPI到Next Header�,SPI、SEQ�、IV也就是ESP的頭部信息,它是不被加密的�����。 1、SPI : 由SA是單向發(fā)起的�����,會以明文HASH的方式把SPI發(fā)給對方��,對方查自己SA的數(shù)據(jù)庫����,匹配上的 就用SPI上下面的策略來解密 2、Sequence Number Field :每發(fā)一個數(shù)據(jù)包��,序列號會增加一�����,如果對方收到相同的序列號��,就會drop�����,防重放***
3�、IV : 跟“快大小相等: 作為CBC加密
4���、 payload Data:具體的數(shù)據(jù)部分
5��、Padding:當(dāng)快不夠的時候�����,就需要這個來湊齊��。(快大小不夠8字節(jié)的時候) Pad length :快大小的長度
6��、Next Header:告知下一個頭部是什么類型(加密數(shù)據(jù)的頭部) 1 for ICMP 4 for IP-In-IP encapsulation 6 for TCP 17 for UDP (除了4是Tunnel��,其他都是傳輸模式)
7���、Authentication Data:包含SPI到Next Header部分通過hash與HMAC算出來的值����,但是只取前96位 因為只有12個字節(jié)��,也就是96位 ESP數(shù)據(jù)包的外出處理1���、傳輸模式:ESP跟進在IP頭之后�����,插入一個外出的IP包中��。IP頭的協(xié)議字段復(fù)制到ESP頭的”下一個頭“字段中(data的下一個字段)�,IP頭的協(xié)議字段置為ESP的值或者50。ESP的其余字段被填滿—SPI字段分配到的是來自S A D B的��、用來對這個包進行處理的特定SA的SPI��;填充序列號字段的是序列中的下一個值����。填充數(shù)據(jù)會被插入,其值被分配(這個值根據(jù)算法決定�,比如DES必須滿足每個包8字節(jié));同時分配的還有填充長度值(Pad自動填充)����。
2�����、tunnel模式:ESP頭是加在IP包前面�����。IPV4包,那么ESP頭的“下一個頭”字段分配為4.其他字段的填充方式在傳輸模式一樣��。然后在ESP頭前面新增一個ip頭��,對相應(yīng)的字段進行填充—-源地址對應(yīng)與ESP那個設(shè)備本身:目標地址取自于用來應(yīng)用ESP的SA (peer中設(shè)置的地址):協(xié)議為50�����,其他字段參照本地的IP處理加以填充�����。
3�����、從恰當(dāng)?shù)腟A中選擇加密方式(加密算法) ���,對包進行加密(從載荷數(shù)據(jù)的開頭����,一直到“下一個頭”字段)
4��、重新計算位于ESP前面的IP頭的校驗和 (因為協(xié)議號改變了)
5、把hash與IP頭的校驗和字段放在尾部 ESP數(shù)據(jù)包的進入處理1���、檢查處理這個包的SA是否在本地數(shù)據(jù)庫中存在 (本地的SPID)
2�����、檢查序列號是否有效����。
3�、對數(shù)據(jù)包進行完整性和來源進行驗證 (hash校驗)
4、對數(shù)據(jù)包解密 (根據(jù)SPID下的策略)
5��、對數(shù)據(jù)包進行初步的有效性檢驗
驗證模式匹配 (根據(jù)Next Header中攜帶的是4就是Tunnel�,其他的都為傳輸模式)
6、傳輸模式:就會轉(zhuǎn)送到一個高一級的協(xié)議—比如TCP或UDP—由它們對這個包進行處理
隧道模式: 對解密后的IP�,進行路由查找,進行轉(zhuǎn)發(fā)到它的目的 (也可能在同一個主機上)
mode:分為tunnel mode 與transport mode �����,兩者的區(qū)別在于 前者會生成一個新的頭部�,通常用于互聯(lián)網(wǎng)兩個私網(wǎng)之間連接��,而transport mode用于局域網(wǎng)之類�。 
關(guān)于這些SA ESP mode�����,兩者建立安全隧道的時候 到底怎么去生成跟決定呢��,那么就需要用到IPsec中IKE�。
IKE負責(zé)建立和維護IKE SA和IPsec SA 主要包含1����、對雙方進行驗證
2、交換公共密鑰�,產(chǎn)生密鑰資源,管理密鑰
3 ���、協(xié)商協(xié)議參數(shù)(封裝����,加密����,認證) IKE的三個組成部分1、SKEME:提供為認證目的的使用公開的加密機制 (定義一種密鑰交換方式)
2���、Oakley:提供在兩個IPsec對等體達成相同的加密密鑰的基本模式的機制(對多模式的支持��,例如對新的加密技術(shù)��,并沒有具體定義交換什么樣的信息����。)
3、ISAKMP:定義了消息交換的體系結(jié)構(gòu)�����,包括兩個IPsec對等體分組形式和狀態(tài)改變 (定義封裝格式和協(xié)商包交換的方式)
IKE的建立會經(jīng)歷兩個階段�,有三種模式。 通常使用的是主模式��,積極模式只在EZ***或者遠程***的情況下才被使用�����。
第一階段分 主模式:六個包交換�。一去一回做3次交換,提供一個安全管理的連接�,兩個對等體用于共享IPsec的信息。
第二階段協(xié)商IPsec SA對具體的流量進行加密的方式 �,利用安全的通道建立具體數(shù)據(jù)加密的通道 我們可以把***看成一個業(yè)務(wù)���,首先公司的老總需要見面�、吃吃飯 認識認識 (相當(dāng)于認證,為第一階段) ��。當(dāng)業(yè)務(wù)談妥了����,定下了合同,而這份合同規(guī)定了對這些業(yè)務(wù)的具體操作(對數(shù)據(jù)的具體加密)
1.第一二個包協(xié)商的內(nèi)容為 ip地址 和 策略:
{IP地址的內(nèi)容為對方所指定的peer��,匹配了才進行下去}
{策略的內(nèi)容 雙方定義的認證方式 {pre-share | 證書} 加密策略 {des | 3des | aes| } 認證{ hash { MD5 | sha-1 }
{DH的內(nèi)容定義了g和P的大小 {group 1 | 2 | 5 }
{key life-time {默認為1天} 如果不匹配���,就以雙方最小的為標準
協(xié)商過程:首先發(fā)送方把所有的策略都發(fā)給接收方 �。 當(dāng)接收方與自己的策略做比較���,匹配上的��,就只發(fā)這個匹配上的給發(fā)送方����。
這里的策略決定了第一階段的第五六個包與第二階段的快速模式在什么樣的***通道中進行協(xié)商 (這些過程都是進行加密與驗證的) 2�、第三四個包協(xié)商的內(nèi)容為:DH的交換 {把大A | B 和小 a | b 雙方進行交換對比} 這個結(jié)果是共同協(xié)商的�����,是相等的���,隨即的通過一系列算法得出三個SKEYID 產(chǎn)生密鑰
SKEYID_d =用于計算后續(xù)IPsec密鑰材料 (第二階段的密鑰都是通過這個來衍生的)
SKEYID_a=用于提供IKE消息的數(shù)據(jù)完整性和認證
SKEYID_e=用于加密IKE消息 3、第五六個包協(xié)商的內(nèi)容為 :用SKEYID的信息對pre-shared key 和雙方已知的(策略信息)SA Payload,Proposals Transforms,ID 進行hash���,得到的 結(jié)果一致�����,認證就通過�����,這個過程是在SKEYID_E加密的情況下完成認證�。 第二階段 主要協(xié)商IPsec sa 對具體數(shù)據(jù)的加密方式.{封裝策略 (ESP | AH )}
{加密策略 (des | 3des | aes ) }
{ hash策略 (md5 | sha-1 ) }
{ mode ( tunnel | transport_}
{ key lifetime ( 1小時) (這里的一個小時��,只是說流量在一個小時內(nèi)沒有經(jīng)過����,就斷開
{流量 (ACL) 定義具體流量 }
這個模式為快速模式,這個過程是也加密的��,也是根據(jù)IKE第一階段的第一次交換策略來決定
只有3個包,第一個包發(fā)送方當(dāng)有多個策略的時候����,發(fā)送給接收方。接收方通過查找有匹配的策略的時候��、會通過快速包的第二個包發(fā)給對方(只發(fā)送匹配的��,說明雙方以這個策
略來進行加密 ���。第三個包接收方會回復(fù)一個acknowledges information的信息,表示這個IPsec隧道是可以建立的�。當(dāng)隧道建立了,會出現(xiàn)SPID(顯示為一堆阿拉伯?dāng)?shù)字)說明Ipsec已經(jīng)成功建立�����。 這個通道用于加密數(shù)據(jù)流量�����。 IPsec的框架: 1���、加密 DES 3DES AES ……
2��、驗證 MD5 SHA-1 …….
3�、封裝協(xié)議 ESP AH……..
4、模式 Transport tunnel ……….
5�、密鑰有效期 3600 1800 ………..
IPsec提供了一個框架,并沒有規(guī)定使用什么加密算法與驗證 封裝(只提供了加密 驗證封裝協(xié)議等的參數(shù)選擇)����,它由兩個對等體之間的參數(shù)來協(xié)商,這種框架提供了靈活性與可擴展性��。 它提供了數(shù)據(jù)機密性�����、數(shù)據(jù)完整性��、數(shù)據(jù)源認證�����、防重放***�����。 IPsec的連接:當(dāng)一個***沒建立的時候����,一個數(shù)據(jù)包觸發(fā)了IPsec過程�,那么IPsec會使用ISAKMP/IKE階段1來構(gòu)建一個安全的管理連接�����,這個管理連接可以讓兩個對等體可以彼此安全的通信���,用于共享IPsec的信息(比如共享密鑰,驗證信息的載荷)����。也把第一階段成為管理連接。 通過這個安全的管理連接����,兩個IPsec的對等體將協(xié)商用于構(gòu)建安全數(shù)據(jù)連接的參數(shù),這個安全的數(shù)據(jù)連接用于傳輸用戶的數(shù)據(jù)����,通常這個ISAKMP/IKE 第二階段也稱為數(shù)據(jù)連接。管理連接與數(shù)據(jù)連接都各自有一個生存期存在�,確保在有人試圖破解你安全密鑰的情況下,密鑰信息在周期性的重新產(chǎn)生來保證安全性��。如果數(shù)據(jù)一直在發(fā)送,那么會提前建立第二個通道����,不會第一個生存期過了后,需要重新建立 而斷開了數(shù)據(jù)連接�����。 ISAKMP/IKE 使用的是UDP 500端口來建立管理連接����, 數(shù)據(jù)加密是用ESP或者AH 來進行。 也許有些人覺得配置***是一件繁瑣的事情��,因為配置命令太多����,但是明白了它們的協(xié)商過程和每個階段的任務(wù) ,配置起來思路是很清晰 也很簡單的�。 cisco設(shè)備實現(xiàn)簡單的site-to-site ***12.1.1.0/24 23.1.1.0/24
1.1.1.1 Center.1—————– .2 Internet .1 ——————–.2 Branch 3.3.3.3
在配置之前,首先要了解加密點與通訊點���。 這里的通訊點為1.1.1.1 和3.3.3.3 兩個私網(wǎng)網(wǎng)段����,而加密點則是出口的公網(wǎng)地址。
當(dāng)加密點不等于通訊點的時候���,必須使用tunnel mode來生成一個新的頭部���。 當(dāng)加密點等于通訊點的時候,可以使用transport mode����,節(jié)省20個字節(jié)的IP頭部,后續(xù)的GRE Over *** 或者IPsec SVIT等 1��、首先配置isakmp/ike 第一階段����,通過之前的協(xié)商的過程了解 需要配置ip和策略crypto isakmp policy 10
authentication pre-share | rsa-sig 基于什么的認證�,通常情況下使用預(yù)共享密鑰
encryption des | 3des | aes 加密算法
hash md5 | sha-1
group
lifetime 86400 默認為1天,根據(jù)雙方最小值定
在cisco路由器中IKE第一階段有默認策略����,show crypto isakmp policy 查看 
默認策略:加密為DES Hash 為SHA-1 DH為group 1 lifetime 為一天 認證用證書
所以我們最簡單的配置方法就是 authentication pre-share 只需要把認證改為基于預(yù)共享密鑰 其余的都為默認策略 crypto isakmp key 0 cisco address 23.1.1.2 這里定義的是IKE第一階段的共享密鑰,并且指定與誰建立 2��、配置第二階段的策略。這里協(xié)商具體數(shù)據(jù)加密的策略crypto ispec transform-set trans esp-des esp-md5-hmac 這里的trans是一個名字����,可以設(shè)置多個名字調(diào)用與不同的IPsec中,采用ESP協(xié)議 用des加密 md5做認證��,當(dāng)輸入后會進入子模式設(shè)置mode
mode tunnel | transport 默認情況下不設(shè)置為tunnel模式���,L2L是典型的tunnel模式 感興趣流量:access-list permit ip host 1.1.1.1 host 3.3.3.3 感興趣流量兩端必須配置為鏡像一樣�,
比如 Branch就必須為 access-list permit ip host 3.3.3.3 host 1.1.1.1 3���、調(diào)用第一二階段的策略crypto map l2l 10 ipsec-isakmp :
這里用一個map調(diào)用��,cisco中存在很多的map�。l2l是一個名字���,后面跟的序列號�����,因為接口下只允許存在一個map��,所以可以根據(jù)序列號來調(diào)用多個不同的***�。 有些人很奇怪 在調(diào)用的時候并沒有調(diào)用第一階段的策略,其實ipsec-isakmp這關(guān)鍵字 已經(jīng)調(diào)用了第一階段的策略了��,采用IKE來協(xié)商�����。 還有個ipsec-maunal 手動模式,幾乎不使用
match address 100 :調(diào)用感興趣流量
set peer 23.1.1.2 :設(shè)置與哪個場點建立
set transform-set trans :調(diào)用第二階段協(xié)商參數(shù) 4、接口下調(diào)用interface f0/0
crymap map l2l
當(dāng)調(diào)用后會提示 *Mar 1 00:25:05.291: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
這里主要的是 在路由器上配置IPsec *** 默認情況下 IKE是啟用的�����,而在ASA上配置默認是關(guān)閉的�,需要用crypto isakmp enable 開啟 當(dāng)測試的時候 一定要用感興趣流量來測試����,比如Center端發(fā)起 需要 ping 3.3.3.3 source 1.1.1.1 經(jīng)常用的幾個查看命令1、show crypto isakmp sa 查看第一階段的情況 顯示QM_IDLE 表示第一階段正常建立 2����、shiw crypto ipsec sa :顯示ipsec sa的詳細情況���,包括SPI 感興趣流量 peer 
仔細看會發(fā)現(xiàn)Center端的SPI Outbound 與Branch的 SPI Inbound 是相同的�,反過來 Center的SPI inbound與Branch的Outbound是相同的���。 當(dāng)一個數(shù)據(jù)包發(fā)送過來 通過SPI來匹配這個數(shù)據(jù)包用什么算法加解密 和認證�����。 3�����、show crypto engine connections active 最直接查看IPsec的加解密情況 
一個是IKE的sa情況 另外兩個分別對應(yīng)Outbound 與Inbound 加解密 這里為加密4個數(shù)據(jù)包 解密4個數(shù)據(jù)包 這里注意的是�,有時候在做實驗的時候,習(xí)慣用兩臺設(shè)備做***�,覺得直連設(shè)備不需要做路由,但是配置下來后死活不通�����,檢查了半天配置也沒問題����,這里在安全實驗中一定要明白路由的重要性,這里做路由不是為了讓私網(wǎng)之間可達�,而是為了讓去往對方私網(wǎng)走這個有map的接口,當(dāng)滿足了流量撞擊map的策略���,觸發(fā)了***的建立���。 在***中 通常有多個IP頭部�,所以 最好的辦法是理解封裝結(jié)構(gòu) �����,這對以后流量的放行和路由的處理是很關(guān)鍵的��。 Center的配置crypto isakmp policy 10
authentication pre-share
crypto isakmp key cisco address 23.1.1.2
!
!
crypto ipsec transform-set trans esp-des esp-md5-hmac
!
crypto map l2l 10 ipsec-isakmp
set peer 23.1.1.2
set transform-set trans
match address 100
!
interface Loopback0
ip address 1.1.1.1 255.255.255.255
!
interface FastEthernet0/0
ip address 12.1.1.1 255.255.255.0
duplex auto
speed auto
crypto map l2l
ip route 0.0.0.0 0.0.0.0 12.1.1.2
!
access-list 100 permit ip host 1.1.1.1 host 3.3.3.3
! Branch配置crypto isakmp policy 10
authentication pre-share
crypto isakmp key ccieh3c.taobao.com address 12.1.1.1
!
!
crypto ipsec transform-set trans esp-des esp-md5-hmac
!
crypto map l2l 10 ipsec-isakmp
set peer 12.1.1.1
set transform-set trans
match address 100
!
interface Loopback0
ip address 3.3.3.3 255.255.255.255
!
interface FastEthernet0/1
ip address 23.1.1.2 255.255.255.0
duplex auto
speed auto
crypto map l2l
!
ip route 0.0.0.0 0.0.0.0 23.1.1.1
access-list 100 permit ip host 3.3.3.3 host 1.1.1.1 H3C設(shè)備的site-to-site實現(xiàn)在H3C設(shè)備中����,第一階段和第二階段都有默認策略,相對來說配置很簡單����。
基本配置:1、ike peer 10 建立一個peer�,設(shè)置預(yù)共享密鑰和地址
pre-shapre-key ccieh3c.taobao.com
remote-address 23.1.1.2
2、ike的策略采用default����,默認策略跟cisco的相同,除了認證不同
3��、ipsec proposal 10 創(chuàng)建一個IPSEC策略�����,采用默認值封裝為esp 加密為des hash為MD5 mode為tunnel
4���、acl number 3000 創(chuàng)建感興趣流量
rule 0 permit ip source 1.1.1.1 0 destionation 3.3.3.3 0
5�����、ipsec policy l2l 10 iskamp 調(diào)用這些策略
security acl 3000
ike peer 10
proposal 10
6����、接口調(diào)用
ipsec policy l2l
幾個查看命令 display ike peer :查看peer的設(shè)置
display ike proposal :查看ike的default策略
display ipsec proposal :查看ipsec的default策略
dispaly ike sa :查看第一階段的情況
display ipsec sa:查看第二階段的情況 包括SPI 感興趣流量 peer
display ipsec statistics :查看加解密的情況 本文轉(zhuǎn)載于公眾號:網(wǎng)絡(luò)之路博客 來源:https://www./content-4-886051.html
|
