IPsec***原理與配置

***虛擬專用網絡算法

做用:經過不安全的網絡實現私有網絡間安全通訊。安全

原理:經過加密,認證,ACL,隧道(封裝)四個技術來實現。網絡


***鏈接模式:ide

隧道模式:適用於公有地址和私有地址混合環境。加密

傳輸模式:適用於純公有網絡或純私有網絡。  spa


加密和認證的比較:orm

加密:是雙向過程,有加密必有解密,主要用於實現數據的機密性。常      用的加密算法DES,3DES,AES,RSA,GPG,DH接口

認證:是一個單向過程,主要用於報文的完整性驗證和身份確認。經常使用      的算法有MD5,SHAip


非對稱算法:安全性高,速度慢。通常用於加密少許的敏感信息。hash

對稱算法:安全性差,速度快。通常用於大量的數據傳輸,經過常常更換密碼以增長安全性。


加密算法的應用:

經過非對稱加密算法加密對稱加密算法的密鑰。

而後再用對稱加密算法加密實際要傳輸的數據。

--------------------------------------------------------------

blob.png


分別在R2R4上配置Ipsec×××

使用NAT實現,內部主機能訪問ISP



ipsec ×××的配置:

一、管理鏈接配置:

crypto isakmp policy 1

 encr aes             加密算法

 hash  sha     認證算法

 authentication pre-share 聲明設備認證方式爲「預先共享密鑰」

 group 2 採用DH算法的強度爲group2

 lifetime 10000 管理鏈接生存週期


crypto isakmp key benet.123 address 201.0.0.2  配置「預先共享密鑰」


二、數據鏈接配置

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 (***保護的流量)


crypto ipsec transform-set test-set ah-sha-hmac esp-aes  (數據鏈接協商參數)


crypto map test-map 1 ipsec-isakmp   將數據鏈接相關配置設定爲MAP

 set peer 201.0.0.2 ***對端地址

 set transform-set test-set 數據傳輸採用的傳輸集

 match address 101 匹配的ACL

三、將MAP在外部接口應用:

int F1/0

crypto map test-map


四、PAT(解決內部主機訪問internet)

 

access-list 102 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255(拒絕×××的流量)

access-list 102 permit ip any any (放行全部流量)


註明:當有NAT和×××時,先匹配NAT,後匹配×××。全部要拒絕×××的流量。


ip nat inside source list 102 interface FastEthernet1/0 overload


接口上啓用nat功能:

  int  f0/0

    ip nat  inside

  

   int  f1/0

    ip nat  outside

相關文章
相關標籤/搜索