如何進(jìn)行IPsec配置說明-創(chuàng)新互聯(lián)

這篇文章的內(nèi)容主要圍繞如何進(jìn)行IPsec配置說明進(jìn)行講述，文章內(nèi)容清晰易懂，條理清晰，非常適合新手學(xué)習(xí)，值得大家去閱讀。感興趣的朋友可以跟隨小編一起閱讀吧。希望大家通過這篇文章有所收獲！

專注于為中小企業(yè)提供網(wǎng)站建設(shè)、成都網(wǎng)站設(shè)計(jì)服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)赤峰免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動(dòng)了千余家企業(yè)的穩(wěn)健成長，幫助中小企業(yè)通過網(wǎng)站建設(shè)實(shí)現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。

如何進(jìn)行IPsec配置說明

實(shí)驗(yàn)配置步驟:

第一階段:iaskmp SA（IKE SA要保護(hù)的對(duì)象是與密鑰有關(guān)的）

IKE并不直接關(guān)心用戶的數(shù)據(jù)，并且IKE SA是為安全協(xié)商IPSec SA服務(wù)的

1、共享密鑰或數(shù)字證書

IKE采用了Diffie-Hellman算法、密鑰通過對(duì)等體推算出自己的密鑰
group1 密鑰長度為768bit
group2 密鑰長度為1024bit
group5 密鑰長度為1536bit
用于數(shù)據(jù)加密的密鑰的值是靠算法計(jì)算出來的，是不能由管理員定義和修改的

2、驗(yàn)證鄰居（建立鄰居）

第二階段:IPsec SA（用戶的數(shù)據(jù)流量真正是在IPSec SA上傳遞的）

IPSec SA直接為用戶數(shù)據(jù)流服務(wù)，IPSec SA中的所有安全策略都是為了用戶數(shù)據(jù)流的安全

1、數(shù)據(jù)封裝協(xié)議（ESP\AH為安全協(xié)議）

2、工作模式（傳輸\透明）

3、加密算法（DES\3DES\AES）

4、認(rèn)證方式（MD5\SHA）

第三階段:定義感興趣流（通訊網(wǎng)段，基于擴(kuò)展ACL）
第四階段:安全關(guān)聯(lián)（SA）

1、驗(yàn)證鄰居

2、數(shù)據(jù)加密方式

3、感興趣流
第五階段:接口調(diào)用

R1
Router>enable
Router#configure terminal
Router(config)#hostname R1
R1(config)#no ip domain-lookup
R1(config)#service timestamps debug datetime localtime
R1(config)#service timestamps log datetime localtime
R1(config)#interface f0/1
R1(config-if)#ip address 10.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface f0/0
R1(config-if)#ip address 12.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface loop0
R1(config-if)#ip address 1.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.2

R1(config)#interface tunnel10
R1(config-if)#tunnel source 12.1.1.1
R1(config-if)#tunnel destination 23.1.1.3
R1(config-if)# ip address 172.16.1.1 255.255.255.0
R1(config-if)#tunnel mode gre ip
R1(config-if)#no shutdown

R1(config)#ip route 192.168.1.0 255.255.255.0 tunnel10

R1(config)#crypto isakmp policy 10 IKE第一階段認(rèn)證策略（保證密鑰安全）

R1(config-isakmp)#authentication pre-share 認(rèn)證方式

R1(config-isakmp)#encryption des IKE第1.5階段加密（數(shù)據(jù)加密，加密方式，默認(rèn)為DES）
R1(config-isakmp)#group 2 密鑰算法（Diffie-Hellman）
group1(768bit)、group2(1024bit)、group5(1536bit)，默認(rèn)是group1

R1(config-isakmp)#hash md5 認(rèn)證方式
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 6 cisco address 23.1.1.3 255.255.255.0 身份驗(yàn)證

R1(config)#crypto isakmp keepalive 10 3 每10s發(fā)送DPD檢測(cè)×××建立、3s之內(nèi)沒回復(fù)再發(fā)3次

R1(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac isakmp策略，數(shù)據(jù)封裝模式

R1(cfg-crypto-trans)#mode tunnel 模式，默認(rèn)是tunnel mode 模式

R1(cfg-crypto-trans)#exit

R1(config)#ip access-list extended interested 定義感興趣流

R1(config-ext-nacl)#permit gre host 12.1.1.1 host 23.1.1.3 本端通信的主機(jī)和對(duì)端通信的主機(jī)
R1(config-ext-nacl)#permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255 tunnel mode定義感興趣流

R1(config-ext-nacl)#exit

R1(config)#crypto map IPSec*** 10 ipsec-isakmp 安全關(guān)聯(lián)（關(guān)聯(lián)以上數(shù)據(jù)封裝方式、感興趣流）

R1(config-crypto-map)# set peer 23.1.1.3

R1(config-crypto-map)#set transform-set cisco
R1(config-crypto-map)#match address interested
R1(config-crypto-map)#exit
R1(config)#interface f0/0
R1(config-if)#crypto map IPSec***

R1(config)#ip access-list extended nat
R1(config-ext-nacl)#10 permit ip 1.1.1.0 0.0.0.255 any
R1(config-ext-nacl)#exit
R1(config)#int loop0
R1(config-if)#ip nat inside
R1(config-if)#int s0/0
R1(config-if)#ip nat outside
R1(config-if)#exit
R1(config)#ip nat inside source list nat int f0/0 overload
R1(config)#ip nat inside source static udp 192.168.2.2 4500 interface f0/0 4500
R1(config)#ip nat inside source static udp 192.168.2.2 500 interface f0/0 500

R3
Router>enable
Router#configure terminal
Router(config)#hostname R3
R3(config)#no ip domain-lookup
R3(config)#service timestamps debug datetime localtime
R3(config)#service timestamps log datetime localtime
R3(config)#interface f0/0
R3(config-if)#ip address 192.168.1.3 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#interface f0/1
R3(config-if)#ip address 23.1.1.3 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit

R3(config)#ip route 0.0.0.0 0.0.0.0 23.1.1.2
R3(config)#interface tunnel11
R3(config-if)#tunnel source 23.1.1.3
R3(config-if)#tunnel destination 12.1.1.1
R3(config-if)# ip address 172.16.1.3 255.255.255.0
R3(config-if)#tunnel mode gre ip
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#ip route 10.1.1.0 255.255.255.0 tunnel11

R3(config)#crypto isakmp policy 10
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#encryption des
R3(config-isakmp)#group 2
R3(config-isakmp)#hash md5
R3(config-isakmp)#exit
R3(config)#crypto isakmp key 6 cisco address 12.1.1.1 255.255.255.0

R3(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac
R3(cfg-crypto-trans)#mode tunnel
R3(cfg-crypto-trans)#exit

R3(config)#ip access-list extended interested
R3(config-ext-nacl)#permit gre host 23.1.1.3 host 12.1.1.1
R3(config-ext-nacl)#exit

R3(config)#crypto map IPSec*** 10 ipsec-isakmp
R3(config-crypto-map)#set peer 12.1.1.1
R3(config-crypto-map)#set transform-set cisco
R3(config-crypto-map)#match address interested
R3(config-crypto-map)#exit

R3(config)#interface serial 0/1
R3(config-if)#crypto map IPSec***

IPSec也具有配置復(fù)雜、消耗運(yùn)算資源較多、增加延遲、不支持組播等缺點(diǎn)

查看策略：
show crypto isakmp policy 定義域共享密鑰建立***連接
show crypto engine connections active 查看加密解密數(shù)據(jù)包的數(shù)量

clear crypto isakmp 清除IKE第一階段

clear crypto sa 清除IKE第二階段

流量優(yōu)化：

access-list 101 permit esp host 12.1.1.1 host 23.1.1.3

access-list 101 permit udp host 12.1.1.1 host 23.1.1.3 eq isakmp

access-list 101 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255

首先第一階段有MM（主模式）和野蠻模式，第二階段才有QM（快速模式）
其次，主模式的最后兩條消息有加密，可以提供身份保護(hù)功能
而野蠻模式消息集成度過高，因此無身份保護(hù)功能

野蠻模式（該情況下，響應(yīng)者無法根據(jù)IP地址選擇對(duì)應(yīng)的預(yù)共享密鑰，即不依賴IP地址標(biāo)識(shí)身份，使得野蠻模式具備更好的靈活性）

通過display ike sa 查看結(jié)果
1、第一階段ike sa已經(jīng)成功建立
3、ike使用的是版本v1
peer此安全聯(lián)盟的狀態(tài)
flag顯示此安全聯(lián)盟的狀態(tài)
RD（ready）表示SA已建立成功
ST（stayalive）表示此端是通道協(xié)商發(fā)起方
RL（Replaced）表示此通道已經(jīng)被新的通道替代，一段時(shí)間后將被刪除
FD（Fading）表示此通道以發(fā)生過一次軟超時(shí)，目前還在使用，在硬超時(shí)時(shí)會(huì)刪除此通道
TO（timeout）表示此SA在上次keepalive超時(shí)發(fā)生后還沒有收到keepalive報(bào)文，如果在下次keepalive超時(shí)發(fā)生時(shí)仍沒有收到keepalive報(bào)文，此SA將被刪除
TD（deleting）表示該條SA即將被刪除
NEG（negotiating）表示IKE SA正在協(xié)商中，是由隧道兩端設(shè)置的某些參數(shù)不一致導(dǎo)致
D（DPD）表示開啟了DPD檢測(cè)功能，并正在做DPD檢測(cè)
M（active）表示IKE SA狀態(tài)為主
S（standby）表示IKE SA狀態(tài)為備
A（alone）表示IKE SA狀態(tài)為Alone，IPSec隧道之間不備份
此SA所屬階段：Phase1：建立安全通道進(jìn)行通信的階段，此階段建立ISAKMP SA Phase2：協(xié)商安全服務(wù)的階段。此階段建立IPSec SA

安全聯(lián)盟由三元素唯一標(biāo)識(shí)（安全協(xié)議號(hào)(AH或ESP)、目的IP地址、安全參數(shù)索引(SPI,Security Parameter Index)）
安全參數(shù)索引是為唯一標(biāo)識(shí)SA而生成的一個(gè)32bite的數(shù)值，它在IPsec頭中傳輸

IPSec-IKE野蠻模式
1、隧道兩端協(xié)商慢的問題
2、發(fā)起者源地址不確定問題
（當(dāng)發(fā)起者的IP地址是動(dòng)態(tài)分配獲得的時(shí)候，由于發(fā)起者的IP地址不可能被響應(yīng)者提前知道，而且雙方都打算采用預(yù)共享密鑰驗(yàn)證方法）

ESP報(bào)文在隧道模式下，可以實(shí)現(xiàn)對(duì)原IP頭數(shù)據(jù)的機(jī)密性
配置預(yù)共享密鑰，必須在兩端都進(jìn)行配置，兩邊的密鑰必須一致
IPSEC中隧道模式下，ESP對(duì)新IP報(bào)文頭字段不做驗(yàn)證（隧道模式封裝新的報(bào)頭，對(duì)其不做驗(yàn)證）
IKE默認(rèn)使用DH group2默認(rèn)組

AH可以實(shí)現(xiàn)的特性（AH協(xié)議，AH是報(bào)文頭驗(yàn)證協(xié)議，主要提供的功能有數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)完整性校驗(yàn)和防報(bào)文重放功能）
AH并不加密所保護(hù)的數(shù)據(jù)，所有不能完成機(jī)密性
IKE互聯(lián)網(wǎng)密碼交換協(xié)議：IKE協(xié)議用于自動(dòng)協(xié)商AH和ESP所使用的密碼算法

感謝你的閱讀，相信你對(duì)“如何進(jìn)行IPsec配置說明”這一問題有一定的了解，快去動(dòng)手實(shí)踐吧，如果想了解更多相關(guān)知識(shí)點(diǎn)，可以關(guān)注創(chuàng)新互聯(lián)網(wǎng)站！小編會(huì)繼續(xù)為大家?guī)砀玫奈恼拢?/p>

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

文章標(biāo)題：如何進(jìn)行IPsec配置說明-創(chuàng)新互聯(lián)
標(biāo)題路徑：http://bm7419.com/article26/dgoijg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供商城網(wǎng)站、全網(wǎng)營銷推廣、微信公眾號(hào)、外貿(mào)網(wǎng)站建設(shè)、App設(shè)計(jì)、外貿(mào)建站

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容