***:虛擬專用網絡
作用:通過不安全的網絡實現私有網絡間安全通信。
原理:通過加密,認證,ACL,隧道(封裝)四個技術來實現。
***連接模式:
隧道模式:適用於公有地址和私有地址混合環境。
傳輸模式:適用於純公有網絡或純私有網絡。
加密和認證的比較:
加密:是雙向過程,有加密必有解密,主要用於實現數據的機密性。常 用的加密算法DES,3DES,AES,RSA,GPG,DH
認證:是一個單向過程,主要用於報文的完整性驗證和身份確認。常用 的算法有MD5,SHA
非對稱算法:安全性高,速度慢。一般用於加密少量的敏感信息。
對稱算法:安全性差,速度快。一般用於大量的數據傳輸,通過經常更換密碼以增加安全性。
加密算法的應用:
通過非對稱加密算法加密對稱加密算法的密鑰。
然後再用對稱加密算法加密實際要傳輸的數據。
--------------------------------------------------------------
分別在R2和R4上配置Ipsec***
使用NAT實現,內部主機能訪問ISP
ipsec ***的配置:
1、管理連接配置:
crypto isakmp policy 1
encr aes 加密算法
hash sha 認證算法
authentication pre-share 聲明設備認證方式爲“預先共享密鑰”
group 2 採用DH算法的強度爲group2
lifetime 10000 管理連接生存週期
crypto isakmp key benet.123 address 201.0.0.2 配置“預先共享密鑰”
2、數據連接配置
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 (***保護的流量)
crypto ipsec transform-set test-set ah-sha-hmac esp-aes (數據連接協商參數)
crypto map test-map 1 ipsec-isakmp 將數據連接相關配置設定爲MAP
set peer 201.0.0.2 ***對端地址
set transform-set test-set 數據傳輸採用的傳輸集
match address 101 匹配的ACL
3、將MAP在外部接口應用:
int F1/0
crypto map test-map
4、PAT(解決內部主機訪問internet)
access-list 102 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255(拒絕***的流量)
access-list 102 permit ip any any (放行所有流量)
註明:當有NAT和***時,先匹配NAT,後匹配***。所有要拒絕***的流量。
ip nat inside source list 102 interface FastEthernet1/0 overload
接口上啓用nat功能:
int f0/0
ip nat inside
int f1/0
ip nat outside