IPSec *** 的配置實現

1、前言

如圖所示,某軟件開發公司在中小城市創建了分支公司,分支公司開發項目小組所在網絡地址爲 172.16.10.0/24,該網絡的主機能夠經過 ××× 訪問總公司開發數據服務器(10.10.33.0/24)。根據上述需求,網絡管理員須要在分支公司的網關路由器上配置 ×××。
IPSec *** 的配置實現web


2、實驗拓撲圖

IPSec *** 的配置實現


3、實驗配置和命令

1.PC機配置

IPSec *** 的配置實現

2.Server配置

IPSec *** 的配置實現

3.Router0配置

路由方面的配置
R1(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2 //設置靜態路由

配置 ISAKMP 策略
R1(config)#crypto isakmp policy 1  //設置加密協議isakmp策略爲1
R1(config-isakmap)#encryption 3des  //設置加密算法爲 3des
R1(config-isakmap)#hash sha  //設置哈希算法爲sha
R1(config-isakmap)#authentication pre-share //採用預共享密鑰方式
R1(config-isakmap)#group 2 //指定DH算法的密鑰長度爲組2
R1(config)#crypto isakmp key tedu address 200.0.0.1 //設置加密協議 isakmp 密鑰爲tedu指定地址爲200.0.0.1

配置 ACL
R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255  //設置acl 100 容許172.16.100.0網段訪問10.10.33.0 網段

配置 IPSec 策略(轉換集)
R1(config)#crypto ipsec transform-set yf-set ah-sha-hmac esp-des //設置加密ipsec策略轉換集名稱爲yf-set支持ah-sha-hmac

配置加密映射集
R1(config)#crypto map yf-map 1 ipsec-isakmp  //設置映射集 yf-map 1 協議爲  ipsec-isakmp 
R1(config-crypto-map)#set peer 200.0.0.1  //與200.0.0.1端口創建鄰居關係
R1(config-crypto-map)#set transform-set yf-set   //添加ipsec策略轉換集 yf-set
R1(config-crypto-map)#match address 100 //匹配acl 100

將映射集應用在接口
R1(config)#interface f0/1 //進入接口f0/1
R1(config-if)#crypto map yf-map //設置映射集 yf-map

4.Router3配置

路由方面的配置
R2(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2  //設置靜態路由

配置 ISAKMP 策略
R2(config)#crypto isakmp policy 1 //設置加密協議isakmp策略爲1
R2(config-isakmap)#encryption 3des //設置加密算法爲 3des
R2(config-isakmap)#hash sha //設置哈希算法爲sha
R2(config-isakmap)#authentication pre-share  //採用預共享密鑰方式
R2(config-isakmap)#group 2  //指定DH算法的密鑰長度組2
R2(config)#crypto isakmp key tedu address 100.0.0.1 //設置加密協議 isakmp 密鑰爲tedu指定地址爲100.0.0.1 (密鑰必須相同)

配置 ACL
R2(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255 //設置acl 100 容許10.10.33.0網段訪問172.16.10.0 網段

配置 IPSec 策略(轉換集)
 R2(config)#crypto ipsec transform-set yf-set  ah-sha-hmac esp-des  //設置加密ipsec策略轉換集名稱爲yf-set支持ah-sha-hmac(加密和認證算法要與分公司匹配)

配置加密映射集
R2(config)#crypto map yf-map 1 ipsec-isakmp //設置映射集 yf-map 1 協議爲  ipsec-isakmp(與R1要相同)
R2(config-crypto-map)#set peer 100.0.0.1 //與100.0.0.1端口創建鄰居關係
R2(config-crypto-map)#set transform-set yf-set  //添加ipsec策略轉換集 yf-set
R2(config-crypto-map)#match address 100 //匹配acl 100

將映射集應用在接口
R2(config)#interface f0/0  //進入接口f0/0
R2(config-if)#crypto map yf-map //設置映射集 yf-map

4、測試:Ping 或訪問 Web 服務

1.pc機ping到server服務器驗證

IPSec *** 的配置實現

2.pc機訪問到server服務器web驗證

IPSec *** 的配置實現

3.驗證第一階段是否成功

R1#show crypto isakmp sa算法

IPSec *** 的配置實現
R2#show crypto isakmp sa
IPSec *** 的配置實現

5、我的筆記總結

***:虛擬專用網
做用:1.使用加密技術防止數據被竊聽
2.數據完整性驗證防止數據被破壞、篡改
3.經過認證機制確認身份,防止數據被截獲、回收。

***訪問方式:
1.站點到站點***:公司對公司
1.遠程訪問***:公司對我的

Ipsec ***鏈接須要3個步驟
1.流量觸發ispec
2.創建管理鏈接(階段一)
3.創建數據鏈接(階段二)

Ipsec ***配置步驟
1.配置isakmp策略
2.配置acl
3.配置ipsec策略(轉換集)
4.配置加密映射集
5.將映射集應用在接口

加密算法方式:
對稱加密算法:des、3des、aes
非對稱加密:rsa、dsa

非對應加密算法密鑰方式:
1.(分公鑰、私鑰):公鑰加密,私鑰解密。
2.(郵件應用較多)私鑰簽名,公鑰解密。
缺點:計算時間長

Md5(信息摘要算法):建立了128位bit簽名,Md5執行速度較快。

Sha(安全散列算法):能夠產生160位簽名,成爲美國國家標準。

Dh算法(迪菲-赫爾曼):dh組1有效密鑰長度768,組2有效密鑰長度102四、組5有效密鑰長度1536。

Ah:認證頭協議,數據驗證,對整個ip數據包

Esp:封裝安全載荷協議,對用戶數據實現加密,

隧道模式:ip頭部保護:新ip,***頭,ip包頭,有效載荷,***尾
相關文章
相關標籤/搜索