***相關知識點及ASA上***的配置整理
×××只是IPSec的一種應用方式,IPSec實際上是IPSecurity的簡稱,它的目的是爲IP提供高安全性特性,×××則是在實現這種安全特性的方式下產生的解決方案算法
IPSEC ××× 預先協商加密協議、散列函數、封裝協議、封裝模式和祕鑰有效期等內容。具體執行協商任務的協議叫作互聯網祕鑰交換協議IKE。協商完成後的結果就叫作安全關聯SA(IKE SA和IPSEC SA)安全
IKE創建了安全關聯(SA)網絡
IPSec 協議不是一個單獨的協議,它給出了應用於IP層上網絡數據安全的一整套體系結構,包括網絡認證協議 Authentication Header(AH)、封裝安全載荷協議Encapsulating Security Payload(ESP)、密鑰管理協議Internet Key Exchange (IKE)和用於網絡認證及加密的一些算法等。這些協議用於提供數據認證、數據完整性和加密性三種保護形式。AH和ESP均可以提供認證服務,但AH提供的認證服務要強於ESP。而IKE主要是對密鑰進行交換管理,對算法、協議和密鑰3個方面進行協商。架構
安全聯盟 SA,記錄每條 IP安全通路的策略和策略參數。安全聯盟是 IPSec 的基礎, 是通訊雙方創建的一種協定,決定了用來保護數據包的協議、轉碼方式、密鑰以及密鑰有效期等。AH和 ESP都要用到安全聯盟,IKE的一個主要功能就是創建和維護安全聯盟。ISAKMP是IKE的核心協議框架
ISAKMP 是容許兩個主機商定如何創建 IPSec 安全關聯 (SA) 的協商協議。它提供了商定 SA 屬性ide
格式的通用框架。此安全關聯包括與對等體協商 SA 以及修改或刪除 SA。ISAKMP 將協商分爲兩函數
個階段:加密
階段 1 建立第一條隧道,其將保護隨後的 ISAKMP 協商消息。3d
階段 2 建立保護數據的隧道。orm
IPSec ×××的應用場景分爲3種:
1.Site-to-Site(站點到站點或者網關到網關):如彎曲評論的3個機構分佈在互聯網的3個不一樣的地方,各使用一個商務領航網關相互創建×××隧道,企業內網(若干PC)之間的數據經過這些網關創建的IPSec隧道實現安全互聯。
2.End-to-End(端到端或者PC到PC): 兩個PC之間的通訊由兩個PC之間的IPSec會話保護,而不是網關。
3.End-to-Site(端到站點或者PC到網關):兩個PC之間的通訊由網關和異地PC之間的IPSec進行保護。
IPSec是一個框架性架構,具體由兩類協議組成:
1.AH協議(Authentication Header,使用較少):能夠同時提供數據完整性確認、數據來源確認、防重放等安全特性;AH經常使用摘要算法(單向Hash函數)MD5和SHA1實現該特性。
2.ESP協議(Encapsulated Security Payload,使用較廣):能夠同時提供數據完整性確認、數據加密、防重放等安全特性;ESP一般使用DES、3DES、AES等加密算法實現數據加密,使用MD5或SHA1來實現數據完整性。
爲什麼AH使用較少呢?由於AH沒法提供數據加密,全部數據在傳輸時以明文傳輸,而ESP提供數據加密;其次AH由於提供數據來源確認(源IP地址一旦改變,AH校驗失敗),因此沒法穿越NAT。固然,IPSec在極端的狀況下能夠同時使用AH和ESP實現最完整的安全特性,可是此種方案極其少見。
隧道組是包含隧道鏈接策略的記錄集,ASA 會在內部存儲隧道組。在ASA 系統中有兩個默認隧道組:DefaultRAGroup 和 DefaultL2Lgroup,前者是默認的遠程訪問隧道組,後者是默認的 LAN 到 LAN 隧道組。您能夠更改默認隧道組,但不能刪除它們。若是在隧道協商過程當中沒有標識特定隧道組, ASA 將會使用默認這兩個隧道組來配置遠程訪問隧道組和LAN 到 LAN 隧道組的默認隧道參數。
LAN TO LAN ×××
ASA5525 IKEv1配置:
interface gigabitEthernet 0/1
ip address 10.2.2.1 255.255.255.0
nameif inside
security-level 100
no shutdown
interface gigabitEthernet 0/0
ip address 200.200.100.2 255.255.255.0
nameif outside
security-level 0
no shutdown
exit
crypto ikev1 policy 1
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400
crypto ikev1 enable outside
crypto ipsec ikev1 transform-set set1 esp-des esp-md5-hmac
access-list 101 permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0
tunnel-group 200.200.100.1 type ipsec-l2l
tunnel-group 200.200.100.1 ipsec-attributes
ikev1 pre-shared-key cienet
crypto map abcmap 1 match address 101
crypto map abcmap 1 set peer 200.200.100.1
crypto map abcmap 1 set ikev1 transform-set set1
crypto map abcmap interface outside
---------------------------------------------------------------
ASA5525 IKEv2配置:
crypto ikev2 policy 1
encryption des
group 2
prf sha
lifetime seconds 86400
crypto ikev2 enable outside
crypto ipsec ikev2 ipsec-proposal secure
protocol esp encryption 3des aes des
protocol esp integrity sha-1 md5
access-list 101 permit ip 192.168.0.0 255.255.0.0 150.150.0.0 255.255.0.0
tunnel-group 200.200.100.1 type ipsec-l2l
ikev2 local-authentication pre-shared-key cienet
crypto map abcmap 1 match address 101
crypto map abcmap 1 set peer 10.10.4.108
crypto map abcmap 1 set ikev2 ipsec-proposal secure
crypto map abcmap interface outside
write memory
---------------------------------------------------------------
ASA5520配置:
interface gigabitEthernet 0/1
ip address 10.1.1.1 255.255.255.0
nameif insideu
security-level 100
no shutdown
interface gigabitEthernet 0/0
ip address 200.200.100.1 255.255.255.0
nameif outside
security-level 0
no shutdown
exit
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption des
hash md5
group 2
tunnel-group 200.200.100.2 type ipsec-l2l
tunnel-group 200.200.100.2 ipsec-attributes
pre-shared-key cienet
access-list 101 permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
crypto ipsec transform-set set1 esp-des esp-md5-hmac
crypto map abcmap 1 match address 101
crypto map abcmap 1 set transform-set set1
crypto map abcmap 1 set peer 200.200.100.2
crypto map abcmap interface outside
-----------------------------------------------------------
L2TP IPSEC ×××
ASA version8.2.5
interface gigabitEthernet 0/1
ip address 10.1.1.1 255.255.255.0
nameif inside
security-level 100
no shutdown
interface gigabitEthernet 0/0
ip address 200.200.100.1 255.255.255.0
nameif outside
security-level 0
no shutdown
exit
ip local pool tec_addresses 10.1.1.5-10.1.1.10
group-policy tec_policy internal
group-policy tec_policy attributes
dns-server value 114.114.114.114 8.8.8.8
***-tunnel-protocol l2tp-ipsec
tunnel-group DefaultRAGroup general-attributes
default-group-policy tec_policy
address-pool tec_addresses
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key cienet
tunnel-group DefaultRAGroup ppp-attributes
no authentication pap
authentication chap
authentication ms-chap-v1
authentication ms-chap-v2
crypto ipsec transform-set trans esp-3des esp-sha-hmac
crypto ipsec transform-set trans mode transport
crypto dynamic-map dyno 10 set transform-set trans
crypto map l2tp*** 20 ipsec-isakmp dynamic dyno
crypto map l2tp*** interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group DefaultRAGroup general-attributes
authentication-server-group LOCAL
username test password 123 mschap
---------------------------------------
ASA version8.4.1
interface gigabitEthernet 0/1
ip address 10.1.1.1 255.255.255.0
nameif inside
security-level 100
no shutdown
interface gigabitEthernet 0/0
ip address 200.200.100.1 255.255.255.0
nameif outside
security-level 0
no shutdown
exit
ip local pool tec_addresses 10.1.1.5-10.1.1.10
group-policy tec_policy internal
group-policy tec_policy attributes
dns-server value 114.114.114.114 8.8.8.8
***-tunnel-protocol l2tp-ipsec
tunnel-group DefaultRAGroup general-attributes
default-group-policy tec_policy
address-pool tec_addresses
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key cienet
tunnel-group DefaultRAGroup ppp-attributes
no authentication pap
authentication chap
authentication ms-chap-v1
authentication ms-chap-v2
crypto ipsec ikev1 transform-set my-transform-set-ikev1 esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set my-transform-set-ikev1 mode transport
crypto dynamic-map dyno 10 set ikev1 transform-set trans
crypto map l2tp*** 20 ipsec-isakmp dynamic dyno
crypto map l2tp*** interface outside
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group DefaultRAGroup general-attributes
authentication-server-group LOCAL
username test password 123 mschap
注:以上知識點及配置是參考Cisco官方文檔在本身理解以及實驗的基礎上整理而成。
- 1. Android 相關面試知識點整理
- 2. Java相關知識點整理《二》
- 3. 整理DOM事件相關知識點
- 4. Http相關知識點吐血整理
- 5. Hadoop一些相關知識點整理
- 6. Java相關知識點整理《三》
- 7. Android 相關重難點知識整理
- 8. 車聯網相關知識點整理
- 9. 整理文件相關知識點
- 10. 整理:Spring相關知識點
- 更多相關文章...
- • Spring Bean的配置及常用屬性 - Spring教程
- • XML 相關技術 - XML 教程
- • NewSQL-TiDB相關
- • IntelliJ IDEA 代碼格式化配置和快捷鍵
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. No provider available from registry 127.0.0.1:2181 for service com.ddbuy.ser 解決方法
- 2. Qt5.7以上調用虛擬鍵盤(支持中文),以及源碼修改(可拖動,水平縮放)
- 3. 軟件測試面試- 購物車功能測試用例設計
- 4. ElasticSearch(概念篇):你知道的, 爲了搜索…
- 5. redux理解
- 6. gitee創建第一個項目
- 7. 支持向量機之硬間隔(一步步推導,通俗易懂)
- 8. Mysql 異步複製延遲的原因及解決方案
- 9. 如何在運行SEPM配置嚮導時將不可認的複雜數據庫密碼改爲簡單密碼
- 10. windows系統下tftp服務器使用
- 1. Android 相關面試知識點整理
- 2. Java相關知識點整理《二》
- 3. 整理DOM事件相關知識點
- 4. Http相關知識點吐血整理
- 5. Hadoop一些相關知識點整理
- 6. Java相關知識點整理《三》
- 7. Android 相關重難點知識整理
- 8. 車聯網相關知識點整理
- 9. 整理文件相關知識點
- 10. 整理:Spring相關知識點