IPSec ***

Overlay : IPSec（Site-to-Site）（Easy）

Peer-to-Peer:MPLS

Site-to-Site：

       模式：tunnel mode :必定要生成一個新的IP頭部

封裝： L2   NIP  ESP/AH  IP L4 Payload

注意：ESP既支持加密，也支持認證，AH只有加密，沒有認證

IKE :ISAKMP

1. 協商：SA 安全關聯  

2. 生成

3. 管理

ISAKMP的兩個階段 ：

第一階段：協商SA ，{main mode :主要模式}

                               {Aggressive mode :積極模式}

第二階段：Quick mode

協議號：ESP 50

             AH   51 都封裝在三層報頭的前面

加密：對稱：DES . 3DES ,AES （相同的鑰匙，速度很快）

          非對稱： RSA（分爲公鑰和私鑰，速度慢）

Stie-to-Site配置：

1. 須要指向公網默認路由，讓內部PC能夠發包出去

   ip route 0.0.0.0 0.0.0.0 Serial1/0

2. 感興趣流量（ACL，兩端必須對稱）
   access-list 100 permit ip 4.4.4.0 0.0.0.255 3.3.3.0 0.0.0.255   必須對稱

   access-list 100 permit ip 3.3.3.0 0.0.0.255 4.4.4.0 0.0.0.255

3. IKE：第一階段：ISAKMP

   R4(config)#crypto isakmp policy 10          指定優先級爲10，兩端一致
   R4(config-isakmp)#authentication pre-share 指定 身份驗證方法
   R4(config-isakmp)#encryption aes   指定加密算法
   R4(config-isakmp)#hash md5   指定認證算法
   R4(config-isakmp)#group 2  
   R4(config-isakmp)#exit
   R4(config)#crypto isakmp key 6 123 address 23.1.1.3   ——對端公網IP地址，密鑰爲123

           第二階段：IPSec SA

   R3(config)#crypto ipsec transform-set TS esp-aes esp-md5-hmac   命名爲TS，本地意義
   R3(cfg-crypto-trans)#mo tunnel      Site-to-Site只能是tunnel

4. 把感興趣流量和ISK結合起來（MAP）

   R3(config)#crypto map CCIE 10 ipsec-isakmp   MAP命名CCIE
   % NOTE: This new crypto map will remain disabled until a peer   提示
           and a valid access list have been configured.
   R3(config-crypto-map)#set peer 14.1.1.4   對端公網IP地址
   R3(config-crypto-map)#match address 100   ACL的序列號
   R3(config-crypto-map)#set transform-set TS 上面對transform的命名

5. 把MAP應用在端口

   R3(config)#interface s1/0

   R3(config-if)#crypto map CCIE  上面對MAP的命名

各類查看命令

1.sh crypto ipsec sa

2.sh crypto isakmp sa

3.sh crypto engine connections active

4.sh crypto ipsec security-association lifetime

5.sh  cry isakmp policy

兩個debug命令：

1.debug crypto ipsec

2.debug crypto isakmp

清除命令

1.clear crypto isakmp

2.clear crypto sa

 

GRE over Tunnel IPSec ×××:

GRE的封裝：

  NIP  GRE  IP  TCP  Data

GRE over IPSe支持多種網絡協議，而且支持動態×××

基本配置跟Site-to-Site配置同樣，不一樣配置以下：

1. 感興趣流量ACL的抓取：

   access-list 100 permit gre host 12.1.1.1 host 12.1.1.1   這兩個地址都是公網的IP地址，不是私網地址

2. 模式爲transport

 

舒適提示：配置IPSec ×××的時候必定要注意邊界路由器外網接口的IP地址的互通性，注意內網路由去往外網的可達性，注意Tunnel配置時候的路由翻動（支持動態×××）