資源描述:
《cisco_ipsec_vpn配置》由會(huì)員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)��。
1�����、CiscoVPN配置Ipsec參考基于IPSEC的VPN配置步驟第一步??配置IKE協(xié)商R1(config)#cryptoisakmppolicy1??建立IKE協(xié)商策略R1(config-isakmap)#hashmd5????設(shè)置密鑰驗(yàn)證所用的算法R1(config-isakmap)#authenticationpre-share??設(shè)置路由要使用的預(yù)先共享的密鑰R1(config)#??cryptoisakmpkey??123??address192.168.1.2??設(shè)置共享密鑰和對(duì)端地址123是密鑰R2(config)#
2���、cryptoisakmppolicy1??R2(config-isakmap)#hashmd5????R2(config-isakmap)#authenticationpre-share??R2(config)#??cryptoisakmpkey??123??address192.168.1.1第二步配置IPSEC相關(guān)參數(shù)R1(config)#cryptoipsectransform-setcfanhomeah-md5-hmacesp-des??配置傳輸模式以及驗(yàn)證的算法和加密的的算法??cfanhome這里是給這個(gè)傳輸模式取個(gè)名
3���、字R1(config)#access-list101permitip??anyany我這里簡(jiǎn)單的寫(xiě)??但是大家做的時(shí)候可不能這樣寫(xiě)這里是定義訪問(wèn)控制列表R2(config)#cryptoipsectransform-setcfanhomeah-md5-hmacesp-des??兩邊的傳輸模式的名字要一樣R2(config)#access-list101permitip??anyany??第三步應(yīng)用配置到端口??假設(shè)2個(gè)端口都是s0/0R1(config)#cryptomapcfanhomemap1ipsec-isakmp采用IKE
4、協(xié)商���,優(yōu)先級(jí)為1這里的cfanhomemap是一個(gè)表的名字R1(config-crypto-map)#??setpeer192.168.1.2指定VPN鏈路對(duì)端的IP地址R1(config-crypto-map)#??settransform-set??cfanhome??指定先前所定義的傳輸模式R1(config-crypto-map)#??matchaddress101指定使用的反問(wèn)控制列表??這里的MATCH是匹配的意思R1(config)#ints0/0R1(config-if)#cryptomapcfanhomemap應(yīng)
5�、用此表到端口??????R2和R1在最后的配置基本一樣??這里就不一一寫(xiě)出來(lái)了IPsec配置超級(jí)指南(大綱��,說(shuō)明��,實(shí)例���,實(shí)驗(yàn))IPsec-VPN--virtualprivatenetwork什么是VPN--虛擬專(zhuān)用網(wǎng)VPN作用--通過(guò)公網(wǎng)實(shí)現(xiàn)遠(yuǎn)程連接�,將私有網(wǎng)絡(luò)聯(lián)系起來(lái)VPN的類(lèi)型:1、overlay的VPN�,例如IPsec-VPN2、peer-to-peer的VPN���,例如MPLS-VPN還可以分為二層VPN和三層VPNIPsec-VPN是三層的VPNIPsec-VPN的分類(lèi):1�、site-to-siteVPN也叫LAN-to-L
6��、ANVPN(要求兩個(gè)站點(diǎn)都要有固定的IP)2�、EASY-VPN也叫remoteVPN(通常用于連接沒(méi)有固定IP的站點(diǎn))IPsec-VPN提供三個(gè)特性:1、authentication??每一個(gè)IP包的認(rèn)證2����、dataintegrity??驗(yàn)證數(shù)據(jù)完整性,保證在傳輸過(guò)程中沒(méi)有被人為改動(dòng)3、confidentiality(私密性)數(shù)據(jù)包的加密《知識(shí)準(zhǔn)備》在學(xué)習(xí)IPsec技術(shù)之前�,先要學(xué)習(xí)以下幾點(diǎn)知識(shí)1、加密機(jī)制2���、DH密鑰交換算法3��、認(rèn)證機(jī)制4����、散列機(jī)制加密機(jī)制--密碼學(xué)分為兩類(lèi):對(duì)稱(chēng)加密算法---使用一把密匙來(lái)對(duì)信息提供安全的保護(hù)���。
7����、只有一個(gè)密匙���,即用來(lái)加密����,也用來(lái)解密特點(diǎn):1����、速度快2、密文緊湊3����、用于大量數(shù)據(jù)的傳送對(duì)稱(chēng)加密代表:DES、3DES�����、AES3DES--有三個(gè)密匙��,用第一個(gè)密匙加密���,用第二個(gè)密匙解密�����,再用第三個(gè)密匙加密非對(duì)稱(chēng)加密---有一對(duì)密匙���,一個(gè)叫公匙����,一個(gè)叫私匙�����,如果用其中一個(gè)加密�����,必須用另一個(gè)解密�。特點(diǎn):1、速度慢2�、密文不緊湊3、通常只用于數(shù)字簽名�,或加密一些小文件。非對(duì)稱(chēng)加密的代表:RSA、ECC非對(duì)稱(chēng)加密代表RSA--有一對(duì)密匙�����,一個(gè)公匙�,一個(gè)私匙���,私匙加密�����,公匙解密,或者公匙加密����,私匙解密非對(duì)稱(chēng)加密可以有兩種應(yīng)用:1�、公鑰加密,私
8��、鑰解密�����,叫加密2����、私鑰加密�����,公鑰解密�,叫數(shù)字簽名理想的應(yīng)用方法�����,用非對(duì)稱(chēng)加密法來(lái)傳送對(duì)稱(chēng)加密的密匙�,或用在數(shù)字簽名當(dāng)中。用對(duì)稱(chēng)加密法來(lái)加密實(shí)際的數(shù)據(jù)����。數(shù)字簽名不但證明了消息的內(nèi)容,還證明了發(fā)送方的身份����。密鑰化的HASH--使用密鑰對(duì)生成的消息摘要進(jìn)
