IPSec *** 的配置實現

1、前言

如圖所示，某軟件開發公司在中小城市創建了分支公司，分支公司開發項目小組所在網絡地址爲 172.16.10.0/24，該網絡的主機能夠經過 ××× 訪問總公司開發數據服務器（10.10.33.0/24）。根據上述需求，網絡管理員須要在分支公司的網關路由器上配置 ×××。

---

2、實驗拓撲圖

---

3、實驗配置和命令

1.PC機配置

2.Server配置

3.Router0配置

路由方面的配置
R1(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2 //設置靜態路由

配置 ISAKMP 策略
R1(config)#crypto isakmp policy 1  //設置加密協議isakmp策略爲1
R1(config-isakmap)#encryption 3des  //設置加密算法爲 3des
R1(config-isakmap)#hash sha  //設置哈希算法爲sha
R1(config-isakmap)#authentication pre-share //採用預共享密鑰方式
R1(config-isakmap)#group 2 //指定DH算法的密鑰長度爲組2
R1(config)#crypto isakmp key tedu address 200.0.0.1 //設置加密協議 isakmp 密鑰爲tedu指定地址爲200.0.0.1

配置 ACL
R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255  //設置acl 100 容許172.16.100.0網段訪問10.10.33.0 網段

配置 IPSec 策略（轉換集）
R1(config)#crypto ipsec transform-set yf-set ah-sha-hmac esp-des //設置加密ipsec策略轉換集名稱爲yf-set支持ah-sha-hmac

配置加密映射集
R1(config)#crypto map yf-map 1 ipsec-isakmp  //設置映射集 yf-map 1 協議爲  ipsec-isakmp 
R1(config-crypto-map)#set peer 200.0.0.1  //與200.0.0.1端口創建鄰居關係
R1(config-crypto-map)#set transform-set yf-set   //添加ipsec策略轉換集 yf-set
R1(config-crypto-map)#match address 100 //匹配acl 100

將映射集應用在接口
R1(config)#interface f0/1 //進入接口f0/1
R1(config-if)#crypto map yf-map //設置映射集 yf-map

4.Router3配置

路由方面的配置
R2(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2  //設置靜態路由

配置 ISAKMP 策略
R2(config)#crypto isakmp policy 1 //設置加密協議isakmp策略爲1
R2(config-isakmap)#encryption 3des //設置加密算法爲 3des
R2(config-isakmap)#hash sha //設置哈希算法爲sha
R2(config-isakmap)#authentication pre-share  //採用預共享密鑰方式
R2(config-isakmap)#group 2  //指定DH算法的密鑰長度組2
R2(config)#crypto isakmp key tedu address 100.0.0.1 //設置加密協議 isakmp 密鑰爲tedu指定地址爲100.0.0.1 （密鑰必須相同）

配置 ACL
R2(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255 //設置acl 100 容許10.10.33.0網段訪問172.16.10.0 網段

配置 IPSec 策略（轉換集）
 R2(config)#crypto ipsec transform-set yf-set  ah-sha-hmac esp-des  //設置加密ipsec策略轉換集名稱爲yf-set支持ah-sha-hmac（加密和認證算法要與分公司匹配）

配置加密映射集
R2(config)#crypto map yf-map 1 ipsec-isakmp //設置映射集 yf-map 1 協議爲  ipsec-isakmp（與R1要相同）
R2(config-crypto-map)#set peer 100.0.0.1 //與100.0.0.1端口創建鄰居關係
R2(config-crypto-map)#set transform-set yf-set  //添加ipsec策略轉換集 yf-set
R2(config-crypto-map)#match address 100 //匹配acl 100

將映射集應用在接口
R2(config)#interface f0/0  //進入接口f0/0
R2(config-if)#crypto map yf-map //設置映射集 yf-map

---

4、測試：Ping 或訪問 Web 服務

1.pc機ping到server服務器驗證

2.pc機訪問到server服務器web驗證

3.驗證第一階段是否成功

R1#show crypto isakmp sa

R2#show crypto isakmp sa

5、我的筆記總結

***：虛擬專用網
做用：1.使用加密技術防止數據被竊聽
2.數據完整性驗證防止數據被破壞、篡改
3.經過認證機制確認身份，防止數據被截獲、回收。

***訪問方式：
1.站點到站點***：公司對公司
1.遠程訪問***：公司對我的

Ipsec ***鏈接須要3個步驟
1.流量觸發ispec
2.創建管理鏈接（階段一）
3.創建數據鏈接（階段二）

Ipsec ***配置步驟
1.配置isakmp策略
2.配置acl
3.配置ipsec策略（轉換集）
4.配置加密映射集
5.將映射集應用在接口

加密算法方式：
對稱加密算法：des、3des、aes
非對稱加密：rsa、dsa

非對應加密算法密鑰方式：
1.（分公鑰、私鑰）：公鑰加密，私鑰解密。
2.（郵件應用較多）私鑰簽名，公鑰解密。
缺點：計算時間長

Md5（信息摘要算法）：建立了128位bit簽名，Md5執行速度較快。

Sha（安全散列算法）：能夠產生160位簽名，成爲美國國家標準。

Dh算法（迪菲-赫爾曼）：dh組1有效密鑰長度768，組2有效密鑰長度102四、組5有效密鑰長度1536。

Ah：認證頭協議,數據驗證，對整個ip數據包

Esp：封裝安全載荷協議，對用戶數據實現加密，

隧道模式：ip頭部保護：新ip，***頭，ip包頭，有效載荷，***尾