91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何進行IPsec配置說明

發布時間:2022-01-10 10:55:54 來源:億速云 閱讀:191 作者:柒染 欄目:安全技術

這篇文章的內容主要圍繞如何進行IPsec配置說明進行講述,文章內容清晰易懂,條理清晰,非常適合新手學習,值得大家去閱讀。感興趣的朋友可以跟隨小編一起閱讀吧。希望大家通過這篇文章有所收獲!

如何進行IPsec配置說明

實驗配置步驟:

第一階段:iaskmp SA(IKE SA要保護的對象是與密鑰有關的)

IKE并不直接關心用戶的數據,并且IKE SA是為安全協商IPSec SA服務的

1、共享密鑰或數字證書

IKE采用了Diffie-Hellman算法、密鑰通過對等體推算出自己的密鑰
group1 密鑰長度為768bit
group2 密鑰長度為1024bit
group5 密鑰長度為1536bit
用于數據加密的密鑰的值是靠算法計算出來的,是不能由管理員定義和修改的

2、驗證鄰居(建立鄰居)

第二階段:IPsec SA(用戶的數據流量真正是在IPSec SA上傳遞的)

IPSec SA直接為用戶數據流服務,IPSec SA中的所有安全策略都是為了用戶數據流的安全

1、數據封裝協議(ESP\AH為安全協議)

2、工作模式(傳輸\透明)

3、加密算法(DES\3DES\AES)

4、認證方式(MD5\SHA)

第三階段:定義感興趣流(通訊網段,基于擴展ACL)
第四階段:安全關聯(SA)

1、驗證鄰居

2、數據加密方式

3、感興趣流
第五階段:接口調用

R1
Router>enable                                         
Router#configure terminal
Router(config)#hostname R1                             
R1(config)#no ip domain-lookup                         
R1(config)#service timestamps debug datetime localtime
R1(config)#service timestamps log  datetime localtime
R1(config)#interface f0/1                        
R1(config-if)#ip address 10.1.1.1 255.255.255.0      
R1(config-if)#no shutdown                     
R1(config-if)#exit                                 
R1(config)#interface f0/0                   
R1(config-if)#ip address 12.1.1.1 255.255.255.0         
R1(config-if)#no shutdown  
R1(config-if)#exit      
R1(config)#interface loop0                   
R1(config-if)#ip address 1.1.1.1 255.255.255.0         
R1(config-if)#no shutdown  
R1(config-if)#exit                       
R1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.2      

R1(config)#interface tunnel10                 
R1(config-if)#tunnel source 12.1.1.1
R1(config-if)#tunnel destination 23.1.1.3   
R1(config-if)# ip address 172.16.1.1 255.255.255.0
R1(config-if)#tunnel mode gre ip  
R1(config-if)#no shutdown  

R1(config)#ip route 192.168.1.0 255.255.255.0 tunnel10

R1(config)#crypto isakmp policy 10  IKE第一階段認證策略(保證密鑰安全)

R1(config-isakmp)#authentication pre-share   認證方式

R1(config-isakmp)#encryption des IKE第1.5階段加密(數據加密,加密方式,默認為DES)
R1(config-isakmp)#group 2 密鑰算法(Diffie-Hellman)
group1(768bit)、group2(1024bit)、group5(1536bit),默認是group1

R1(config-isakmp)#hash md5 認證方式
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 6 cisco address 23.1.1.3 255.255.255.0 身份驗證

R1(config)#crypto isakmp keepalive 10 3   每10s發送DPD檢測×××建立、3s之內沒回復再發3次

R1(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac isakmp策略,數據封裝模式

R1(cfg-crypto-trans)#mode tunnel  模式,默認是tunnel mode 模式

R1(cfg-crypto-trans)#exit

R1(config)#ip access-list extended interested 定義感興趣流

R1(config-ext-nacl)#permit gre host 12.1.1.1 host 23.1.1.3 本端通信的主機和對端通信的主機
R1(config-ext-nacl)#permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255 tunnel mode定義感興趣流

R1(config-ext-nacl)#exit

R1(config)#crypto map IPSec*** 10 ipsec-isakmp 安全關聯(關聯以上數據封裝方式、感興趣流)

R1(config-crypto-map)# set peer 23.1.1.3

R1(config-crypto-map)#set transform-set cisco
R1(config-crypto-map)#match address interested  
R1(config-crypto-map)#exit
R1(config)#interface f0/0            
R1(config-if)#crypto map IPSec***

R1(config)#ip access-list extended nat
R1(config-ext-nacl)#10 permit ip 1.1.1.0 0.0.0.255 any
R1(config-ext-nacl)#exit
R1(config)#int loop0
R1(config-if)#ip nat inside
R1(config-if)#int s0/0
R1(config-if)#ip nat outside
R1(config-if)#exit
R1(config)#ip nat inside source list nat int f0/0 overload
R1(config)#ip nat inside source static udp 192.168.2.2 4500 interface f0/0 4500
R1(config)#ip nat inside source static udp 192.168.2.2 500 interface f0/0 500


R3
Router>enable                                         
Router#configure terminal
Router(config)#hostname R3                             
R3(config)#no ip domain-lookup                         
R3(config)#service timestamps debug datetime localtime
R3(config)#service timestamps log  datetime localtime
R3(config)#interface f0/0                        
R3(config-if)#ip address 192.168.1.3 255.255.255.0      
R3(config-if)#no shutdown                     
R3(config-if)#exit                                 
R3(config)#interface f0/1                  
R3(config-if)#ip address 23.1.1.3 255.255.255.0         
R3(config-if)#no shutdown  
R3(config-if)#exit

R3(config)#ip route 0.0.0.0 0.0.0.0 23.1.1.2
R3(config)#interface tunnel11                   
R3(config-if)#tunnel source 23.1.1.3
R3(config-if)#tunnel destination 12.1.1.1   
R3(config-if)# ip address 172.16.1.3 255.255.255.0
R3(config-if)#tunnel mode gre ip  
R3(config-if)#no shutdown  
R3(config-if)#exit
R3(config)#ip route 10.1.1.0 255.255.255.0 tunnel11

R3(config)#crypto isakmp policy 10
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#encryption des
R3(config-isakmp)#group 2
R3(config-isakmp)#hash md5
R3(config-isakmp)#exit
R3(config)#crypto isakmp key 6 cisco address 12.1.1.1 255.255.255.0

R3(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac
R3(cfg-crypto-trans)#mode tunnel
R3(cfg-crypto-trans)#exit

R3(config)#ip access-list extended interested  
R3(config-ext-nacl)#permit gre host 23.1.1.3 host 12.1.1.1
R3(config-ext-nacl)#exit

R3(config)#crypto map IPSec*** 10 ipsec-isakmp
R3(config-crypto-map)#set peer 12.1.1.1
R3(config-crypto-map)#set transform-set cisco
R3(config-crypto-map)#match address interested
R3(config-crypto-map)#exit

R3(config)#interface serial 0/1
R3(config-if)#crypto map IPSec***

IPSec也具有配置復雜、消耗運算資源較多、增加延遲、不支持組播等缺點

查看策略:
show crypto isakmp policy 定義域共享密鑰建立***連接
show crypto engine connections active  查看加密解密數據包的數量

clear  crypto isakmp 清除IKE第一階段

clear  crypto sa  清除IKE第二階段

流量優化:

access-list 101 permit  esp host 12.1.1.1 host 23.1.1.3

access-list 101 permit  udp host 12.1.1.1 host 23.1.1.3  eq isakmp

access-list 101 permit  ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255

首先第一階段有MM(主模式)和野蠻模式,第二階段才有QM(快速模式)
其次,主模式的最后兩條消息有加密,可以提供身份保護功能
而野蠻模式消息集成度過高,因此無身份保護功能

野蠻模式(該情況下,響應者無法根據IP地址選擇對應的預共享密鑰,即不依賴IP地址標識身份,使得野蠻模式具備更好的靈活性)

通過display ike sa 查看結果
1、第一階段ike sa已經成功建立
3、ike使用的是版本v1
peer此安全聯盟的狀態
flag顯示此安全聯盟的狀態
RD(ready)表示SA已建立成功
ST(stayalive)表示此端是通道協商發起方
RL(Replaced)表示此通道已經被新的通道替代,一段時間后將被刪除
FD(Fading)表示此通道以發生過一次軟超時,目前還在使用,在硬超時時會刪除此通道
TO(timeout)表示此SA在上次keepalive超時發生后還沒有收到keepalive報文,如果在下次keepalive超時發生時仍沒有收到keepalive報文,此SA將被刪除
TD(deleting)表示該條SA即將被刪除
NEG(negotiating)表示IKE SA正在協商中,是由隧道兩端設置的某些參數不一致導致
D(DPD)表示開啟了DPD檢測功能,并正在做DPD檢測
M(active)表示IKE SA狀態為主
S(standby)表示IKE SA狀態為備
A(alone)表示IKE SA狀態為Alone,IPSec隧道之間不備份
此SA所屬階段:Phase1:建立安全通道進行通信的階段,此階段建立ISAKMP SA Phase2:協商安全服務的階段。此階段建立IPSec SA

安全聯盟由三元素唯一標識(安全協議號(AH或ESP)、目的IP地址、安全參數索引(SPI,Security Parameter Index))
安全參數索引是為唯一標識SA而生成的一個32bite的數值,它在IPsec頭中傳輸

IPSec-IKE野蠻模式
1、隧道兩端協商慢的問題
2、發起者源地址不確定問題
(當發起者的IP地址是動態分配獲得的時候,由于發起者的IP地址不可能被響應者提前知道,而且雙方都打算采用預共享密鑰驗證方法)

ESP報文在隧道模式下,可以實現對原IP頭數據的機密性
配置預共享密鑰,必須在兩端都進行配置,兩邊的密鑰必須一致
IPSEC中隧道模式下,ESP對新IP報文頭字段不做驗證(隧道模式封裝新的報頭,對其不做驗證)
IKE默認使用DH group2默認組

AH可以實現的特性(AH協議,AH是報文頭驗證協議,主要提供的功能有數據源驗證、數據完整性校驗和防報文重放功能)
AH并不加密所保護的數據,所有不能完成機密性
IKE互聯網密碼交換協議:IKE協議用于自動協商AH和ESP所使用的密碼算法

感謝你的閱讀,相信你對“如何進行IPsec配置說明”這一問題有一定的了解,快去動手實踐吧,如果想了解更多相關知識點,可以關注億速云網站!小編會繼續為大家帶來更好的文章!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

衡南县| 休宁县| 汶上县| 永清县| 新郑市| 叙永县| 石河子市| 巨鹿县| 上饶县| 淳化县| 子洲县| 仲巴县| 临朐县| 正安县| 休宁县| 江川县| 萝北县| 天柱县| 东乡| 桂阳县| 晴隆县| 河西区| 灌南县| 正宁县| 嘉兴市| 成武县| 眉山市| 西贡区| 东乌珠穆沁旗| 商水县| 冷水江市| 莱芜市| 大余县| 五河县| 无为县| 常州市| 乌拉特前旗| 靖宇县| 盘山县| 康马县| 汕尾市|