如圖所示,某軟件開發公司在中小城市創建了分支公司,分支公司開發項目小組所在網絡地址爲 172.16.10.0/24,該網絡的主機能夠經過 ××× 訪問總公司開發數據服務器(10.10.33.0/24)。根據上述需求,網絡管理員須要在分支公司的網關路由器上配置 ×××。web
路由方面的配置 R1(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2 //設置靜態路由 配置 ISAKMP 策略 R1(config)#crypto isakmp policy 1 //設置加密協議isakmp策略爲1 R1(config-isakmap)#encryption 3des //設置加密算法爲 3des R1(config-isakmap)#hash sha //設置哈希算法爲sha R1(config-isakmap)#authentication pre-share //採用預共享密鑰方式 R1(config-isakmap)#group 2 //指定DH算法的密鑰長度爲組2 R1(config)#crypto isakmp key tedu address 200.0.0.1 //設置加密協議 isakmp 密鑰爲tedu指定地址爲200.0.0.1 配置 ACL R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255 //設置acl 100 容許172.16.100.0網段訪問10.10.33.0 網段 配置 IPSec 策略(轉換集) R1(config)#crypto ipsec transform-set yf-set ah-sha-hmac esp-des //設置加密ipsec策略轉換集名稱爲yf-set支持ah-sha-hmac 配置加密映射集 R1(config)#crypto map yf-map 1 ipsec-isakmp //設置映射集 yf-map 1 協議爲 ipsec-isakmp R1(config-crypto-map)#set peer 200.0.0.1 //與200.0.0.1端口創建鄰居關係 R1(config-crypto-map)#set transform-set yf-set //添加ipsec策略轉換集 yf-set R1(config-crypto-map)#match address 100 //匹配acl 100 將映射集應用在接口 R1(config)#interface f0/1 //進入接口f0/1 R1(config-if)#crypto map yf-map //設置映射集 yf-map
路由方面的配置 R2(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2 //設置靜態路由 配置 ISAKMP 策略 R2(config)#crypto isakmp policy 1 //設置加密協議isakmp策略爲1 R2(config-isakmap)#encryption 3des //設置加密算法爲 3des R2(config-isakmap)#hash sha //設置哈希算法爲sha R2(config-isakmap)#authentication pre-share //採用預共享密鑰方式 R2(config-isakmap)#group 2 //指定DH算法的密鑰長度組2 R2(config)#crypto isakmp key tedu address 100.0.0.1 //設置加密協議 isakmp 密鑰爲tedu指定地址爲100.0.0.1 (密鑰必須相同) 配置 ACL R2(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255 //設置acl 100 容許10.10.33.0網段訪問172.16.10.0 網段 配置 IPSec 策略(轉換集) R2(config)#crypto ipsec transform-set yf-set ah-sha-hmac esp-des //設置加密ipsec策略轉換集名稱爲yf-set支持ah-sha-hmac(加密和認證算法要與分公司匹配) 配置加密映射集 R2(config)#crypto map yf-map 1 ipsec-isakmp //設置映射集 yf-map 1 協議爲 ipsec-isakmp(與R1要相同) R2(config-crypto-map)#set peer 100.0.0.1 //與100.0.0.1端口創建鄰居關係 R2(config-crypto-map)#set transform-set yf-set //添加ipsec策略轉換集 yf-set R2(config-crypto-map)#match address 100 //匹配acl 100 將映射集應用在接口 R2(config)#interface f0/0 //進入接口f0/0 R2(config-if)#crypto map yf-map //設置映射集 yf-map
R1#show crypto isakmp sa
算法
R2#show crypto isakmp sa
***:虛擬專用網 做用:1.使用加密技術防止數據被竊聽 2.數據完整性驗證防止數據被破壞、篡改 3.經過認證機制確認身份,防止數據被截獲、回收。 ***訪問方式: 1.站點到站點***:公司對公司 1.遠程訪問***:公司對我的 Ipsec ***鏈接須要3個步驟 1.流量觸發ispec 2.創建管理鏈接(階段一) 3.創建數據鏈接(階段二) Ipsec ***配置步驟 1.配置isakmp策略 2.配置acl 3.配置ipsec策略(轉換集) 4.配置加密映射集 5.將映射集應用在接口 加密算法方式: 對稱加密算法:des、3des、aes 非對稱加密:rsa、dsa 非對應加密算法密鑰方式: 1.(分公鑰、私鑰):公鑰加密,私鑰解密。 2.(郵件應用較多)私鑰簽名,公鑰解密。 缺點:計算時間長 Md5(信息摘要算法):建立了128位bit簽名,Md5執行速度較快。 Sha(安全散列算法):能夠產生160位簽名,成爲美國國家標準。 Dh算法(迪菲-赫爾曼):dh組1有效密鑰長度768,組2有效密鑰長度102四、組5有效密鑰長度1536。 Ah:認證頭協議,數據驗證,對整個ip數據包 Esp:封裝安全載荷協議,對用戶數據實現加密, 隧道模式:ip頭部保護:新ip,***頭,ip包頭,有效載荷,***尾