注册 | 登录 忘记密码? 51cto首页 | 博客 | 论坛 | 招聘
热点文章 科普系列之-使用Windows的..
 帮助
《案例精解企业级网络构建》赠书活动开始啦!  最新活动:“Web安全大家谈”有奖征文 博主的更多文章>>

打造史上最强ipsec vpn实例教程

2007-05-19 11:49:26
 标签:思科 网络 vpn 安全   [推送到技术圈]

版权声明:原创作品,如需转载,请与作者联系。否则将追究法律责任。
以下为路由器A的配置,路由器B只需对相应配置做更改即可
1:配置IKE
router(config)# crypto isakmp enable         #启用IKE(默认是启动的)
router(config)# crypto isakmp policy 100     #建立IKE策略,优先级为100
router(config-isakmp)# authentication pre-share    #使用预共享的密码进行身份验证
router(config-isakmp)# encryption des      #使用des加密方式
router(config-isakmp)# group 1      #指定密钥位数,group 2安全性更高,但更耗cpu
router(config-isakmp)# hash md5       #指定hash算法为MD5(其他方式:sharsa)
router(config-isakmp)# lifetime 86400   #指定SA有效期时间。默认86400秒,两端要一致
以上配置可通过show crypto isakmp policy显示。VPN两端路由器的上述配置要完全一样。
 
2:配置Keys
router(config)# crypto isakmp key cisco1122 address 10.0.0.2
                 --(设置要使用的预共享密钥和指定vpn另一端路由器的IP地址)
 
3:配置IPSEC
router(config)# crypto ipsec transform-set abc esp-des  esp-md5-hmac   
配置IPSec交换集
                abc这个名字可以随便取,两端的名字也可不一样,但其他参数要一致。
router(config)# crypto ipsec security-association lifetime 86400 
                ipsec安全关联存活期,也可不配置,在下面的map里指定即可
router(config)# access-list 110 permit tcp 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
router(config)# access-list 110 permit tcp 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
 
4.配置IPSEC加密映射
router(config)# crypto map mymap 100 ipsec-isakmp  创建加密图
router(config-crypto-map)# match address 110   ACL来定义加密的通信
router(config-crypto-map)# set peer 10.0.0.2   标识对方路由器IP地址
router(config-crypto-map)# set transform-set abc  指定加密图使用的IPSEC交换集
router(config-crypto-map)# set security-association lifetime 86400
router(config-crypto-map)# set pfs group 1
 
5.应用加密图到接口
router(config)# interface ethernet0/1
router(config-if)# crypto map mamap
 
 
相关知识点:
对称加密或私有密钥加密:加密解密使用相同的私钥
DES--数据加密标准 data encryption standard
3DES--3倍数据加密标准 triple data encryption standard
AES--高级加密标准 advanced encryption standard
 
一些技术提供验证:
MAC--消息验证码  message authentication code
HMAC--散列消息验证码  hash-based message authentication code
MD5SHA是提供验证的散列函数
对称加密被用于大容量数据,因为非对称加密站用大量cpu资源
 
非对称或公共密钥加密:
RSA   rivest-shamir-adelman
用公钥加密,私钥解密。公钥是公开的,但只有私钥的拥有者才能解密
 
两个散列常用算法:
HMAC-MD5 使用128位的共享私有密钥
HMAC-SHA-I  使用160位的私有密钥
 
ESP协议:用来提供机密性,数据源验证,无连接完整性和反重放服务,并且通过防止流量分析来限制流量的机密性,这些服务以来于SA建立和实现时的选择。
加密是有DES3DES算法完成。可选的验证和数据完整性由HMACkeyed SHA-IMD5提供
IKE--internet密钥交换:他提供IPSEC对等体验证,协商IPSEC密钥和协商IPSEC安全关联
 
实现IKE的组件
1des3des 用来加密的方式
2Diffie-Hellman  基于公共密钥的加密协议允许对方在不安全的信道上建立公共密钥,在IKE中被用来建立会话密钥。group 1表示768位,group 2表示1024
3MD5SHA--验证数据包的散列算法。RAS签名--基于公钥加密系统
 

本文出自 “金蝶软件帮助客户成功” 博客,转载请与作者联系!





    相关文章
思科_网络自身安全白皮书
用ISA Server为虚拟专用网络提供安全保障(V..
Linux系统下设置网络安全
网络即安全
思科网络助手4.0中文
网络安全英语词汇
网络安全的起跑点Trusted Computing
网络安全
无线网络实验之四:无线网络的安全设置--WPA
网络安全工程师20选择题
    文章评论
 
2007-05-19 21:55:37
博主排一下版吧!都看不清

2007-05-19 23:06:54
ok,改好了。多谢提醒。没注意到字体大小

2007-06-21 22:11:49
晕,改一下名字吧,这是一个很简单的IPsec VPN呀,怎么叫史上最强呀?

2007-08-07 23:50:26
嗯,呵呵,写的瞒详细的,试试看~·

2008-01-15 21:59:47
  同意   zhangzzs 说法 如此简单 中间在放个fw试试

 

发表评论

昵   称:
验证码:  点击图片可刷新验证码  博客过2级,无需填写验证码
内   容: