網絡安全與管理精講視頻筆記12-路由器配置IPSec.VPN命令講解

原創 wx5ad9bec4481db 2019-02-26 13:29

第五章 第一節 路由器配置IPSec.VPN命令講解

  
開啓IPSec支持:Router(config)#crypto isakmp enable

第一階段:

配置IPSec:
  (1)創建ISAKMP策略並指定策略編號(優先級)
    Router(config)#crypto isakmp policy 優先級
  (2)指定對稱加密算法
    Router(config-isakmp)#encryption {des|3des}
  (3)指定消息摘要算法
    Router(config-isakmp)#hash {sha|md5}
  (4)指定身份驗證方法
    Router(config-isakmp)#authentication {rsa-sig | rsa-encr | pre-share(預共享密鑰)}
  (5)指定DH分組編號,組1:768位,組2:1024位
    Router(config-isakmp)#group {1 | 2}
  (6)指定SA生存期
    Router(config-isakmp)#lifetime 時間 (秒)
  (7)退出isakmp
    Router(config-isakmp)#exit
  (8)退出config
    Router(config)#exit
  (9)顯示IKE策略設置
    Router#show crypto isakmp policy
  
設置ISAKMP中標識對方的方法爲address|host:
  Router(config)#crypto isakmp identity {address | hostname}
  標識方法爲主機名時,需指定對應關係
  Router(config)#ip host 主機名 地址1[地址2...地址8]
  
確定使用的密碼
  Router(config)#crypto isakmp key 密碼 address 地址
or
  Router(config)#crypto isakmp key 密碼 hostname 主機名
  
  

第二階段:

變換集:
AH消息摘要驗證算法:
  AH transform:ad-md5-hmac | ad-sha-hmac
ESP可用DES、3DES或不加密:
  ESP Encryption transform:esp-des | esp-3des | esp-null | esp-md5-hmac | esp-sha-hmac

  (1)定義交換集
    Router(config)#crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]
  例:crypto ipsec transform-set myset1 ah-sha-hmac sep-3des -sep-md5-hmac
  (2)定義IPSEC的工作模式(可選)
    Router(cfg-crypto-tran)#mode [tunnel | transport]
  (3)顯示交換集
    Router#show crypto ipsec transform-set

  
安全關聯生存時間
  (1)定義IPSec SA的生存時間
    Router(config)#crypto ipsec security-association lifetime seconds 秒數
  (2)統計以隧道模式傳輸的數據量
    Router(config)#crypto ipsec security-association lifetime kilobytes 數據量
  
創建加密用ACL:
  Router(config)# access-list access-liet-number {deny | permit} protocol source source-wildcard destination destination-wildcard [log]
  
創建加密圖:
  (1)創建加密圖的名稱、序列號
    Router(config)#crypto map map-name seq-num ipsec-isakmp
  (2)匹配要加密的數據流
    Router(config-crypto-m)#match address access-list-id
  (3)確定對方地址
    Router(config-crypto-m)#set peer {hostname | address}
  (4)確定變換集
    Router(config-crypto-m)#set transform-set transform-set-name1 [transform-set-name2...transform-set-name6]
  (5)啓用向前密鑰
    Router(config-crypto-m)#set pfs [group1 | goup2]
  (6)退出加密圖
    Router(config-crypto-m)#exit
  (7)應用加密圖
    Router(config-if)#crypto map map-name
  (8)顯示加蜜圖
    Router#show crypto map [interface interface | tag map-name]

 加密圖例子:
  access-list 101 permit ip 10.0.0.0 0.0.0.255 10.2.2.0 0.0.0.255
  crypto ipsec transform-set myset1 esp-des esp-sha
  crypto ipsec transform-set myset2 esp-3des esp-md5-hmac
  crypto map toRemoteSite 10 ipsec-siamp
  match address 101
  set transform-set myset2
  set peer 10.2.2.5
  interface Serial0
  ip address 10.0.0.2
  crypto map toRemoteSite

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

網絡安全與管理精講視頻筆記10-Windows隧道模式IPSec配置實驗演示

wx5ad9bec4481db 2019-02-26 13:29:23

網絡安全與管理精講視頻筆記6-CA認證中心配置及實現SSL.Web加密通信

wx5ad9bec4481db 2019-02-26 13:29:23

網絡安全與管理精講視頻筆記11-Sniffer嗅探分析SSL及IPSec加密(協議分析)

wx5ad9bec4481db 2019-02-26 13:29:23

網絡安全與管理精講視頻筆記8-IPSec工作原理

wx5ad9bec4481db 2019-02-26 13:29:23

網絡安全與管理精講視頻筆記9-Windows傳輸模式IPSec配置實驗演示

wx5ad9bec4481db 2019-02-26 13:29:23

網絡安全與管理精講視頻筆記3-PGP郵件系統加密及實驗

wx5ad9bec4481db 2019-02-22 17:23:46

網絡安全與管理精講視頻筆記4-數字信封、數字簽名、完整性驗證、數據加解密及身份認證流程

wx5ad9bec4481db 2019-02-22 17:23:44

網絡安全與管理精講視頻筆記5-認證中心及證書原理

wx5ad9bec4481db 2019-02-22 17:23:43

網絡安全與管理精講視頻筆記2-加密算法原理及示例

wx5ad9bec4481db 2019-01-30 13:24:02