***:虛擬專用網絡算法
做用:經過不安全的網絡實現私有網絡間安全通訊。安全
原理:經過加密,認證,ACL,隧道(封裝)四個技術來實現。網絡
***鏈接模式:ide
隧道模式:適用於公有地址和私有地址混合環境。加密
傳輸模式:適用於純公有網絡或純私有網絡。 spa
加密和認證的比較:orm
加密:是雙向過程,有加密必有解密,主要用於實現數據的機密性。常 用的加密算法DES,3DES,AES,RSA,GPG,DH接口
認證:是一個單向過程,主要用於報文的完整性驗證和身份確認。經常使用 的算法有MD5,SHAip
非對稱算法:安全性高,速度慢。通常用於加密少許的敏感信息。hash
對稱算法:安全性差,速度快。通常用於大量的數據傳輸,經過常常更換密碼以增長安全性。
加密算法的應用:
經過非對稱加密算法加密對稱加密算法的密鑰。
而後再用對稱加密算法加密實際要傳輸的數據。
--------------------------------------------------------------
分別在R2和R4上配置Ipsec×××
使用NAT實現,內部主機能訪問ISP
ipsec ×××的配置:
一、管理鏈接配置:
crypto isakmp policy 1
encr aes 加密算法
hash sha 認證算法
authentication pre-share 聲明設備認證方式爲「預先共享密鑰」
group 2 採用DH算法的強度爲group2
lifetime 10000 管理鏈接生存週期
crypto isakmp key benet.123 address 201.0.0.2 配置「預先共享密鑰」
二、數據鏈接配置
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 (***保護的流量)
crypto ipsec transform-set test-set ah-sha-hmac esp-aes (數據鏈接協商參數)
crypto map test-map 1 ipsec-isakmp 將數據鏈接相關配置設定爲MAP
set peer 201.0.0.2 ***對端地址
set transform-set test-set 數據傳輸採用的傳輸集
match address 101 匹配的ACL
三、將MAP在外部接口應用:
int F1/0
crypto map test-map
四、PAT(解決內部主機訪問internet)
access-list 102 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255(拒絕×××的流量)
access-list 102 permit ip any any (放行全部流量)
註明:當有NAT和×××時,先匹配NAT,後匹配×××。全部要拒絕×××的流量。
ip nat inside source list 102 interface FastEthernet1/0 overload
接口上啓用nat功能:
int f0/0
ip nat inside
int f1/0
ip nat outside