IPsec***原理與配置

***：虛擬專用網絡

做用：經過不安全的網絡實現私有網絡間安全通訊。

原理：經過加密，認證，ACL,隧道（封裝）四個技術來實現。

***鏈接模式：

隧道模式：適用於公有地址和私有地址混合環境。

傳輸模式：適用於純公有網絡或純私有網絡。  

加密和認證的比較：

加密：是雙向過程，有加密必有解密，主要用於實現數據的機密性。常      用的加密算法DES,3DES,AES,RSA,GPG,DH

認證：是一個單向過程，主要用於報文的完整性驗證和身份確認。經常使用      的算法有MD5，SHA

非對稱算法：安全性高，速度慢。通常用於加密少許的敏感信息。

對稱算法：安全性差，速度快。通常用於大量的數據傳輸，經過常常更換密碼以增長安全性。

加密算法的應用：

經過非對稱加密算法加密對稱加密算法的密鑰。

而後再用對稱加密算法加密實際要傳輸的數據。

--------------------------------------------------------------

分別在R2和R4上配置Ipsec×××

使用NAT實現，內部主機能訪問ISP

ipsec ×××的配置：

一、管理鏈接配置：

crypto isakmp policy 1

 encr aes             加密算法

 hash  sha     認證算法

 authentication pre-share 聲明設備認證方式爲「預先共享密鑰」

 group 2 採用DH算法的強度爲group2

 lifetime 10000 管理鏈接生存週期

crypto isakmp key benet.123 address 201.0.0.2  配置「預先共享密鑰」

二、數據鏈接配置

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 （***保護的流量）

crypto ipsec transform-set test-set ah-sha-hmac esp-aes  （數據鏈接協商參數）

crypto map test-map 1 ipsec-isakmp   將數據鏈接相關配置設定爲MAP

 set peer 201.0.0.2 ***對端地址

 set transform-set test-set 數據傳輸採用的傳輸集

 match address 101 匹配的ACL

三、將MAP在外部接口應用：

int F1/0

crypto map test-map

四、PAT（解決內部主機訪問internet）

 

access-list 102 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255(拒絕×××的流量)

access-list 102 permit ip any any （放行全部流量）

註明：當有NAT和×××時，先匹配NAT，後匹配×××。全部要拒絕×××的流量。

ip nat inside source list 102 interface FastEthernet1/0 overload

接口上啓用nat功能：

  int  f0/0

    ip nat  inside

  

   int  f1/0

    ip nat  outside