Heim > Artikel > Betrieb und Instandhaltung > So konfigurieren Sie IPsec-Anweisungen
Experimentelle Konfigurationsschritte:
Erste Stufe: iaskmp SA (das durch IKE SA zu schützende Objekt). bezieht sich auf Schlüssel)
IKE kümmert sich nicht direkt um Benutzerdaten, und IKE SA dient der sicheren Aushandlung von IPSec SA
1 digitales Zertifikat
IKE verwendet den Diffie-Hellman-Algorithmus und der Schlüssel wird vom Peer berechnet.
group1 Die Schlüssellänge beträgt 768 Bit
group2 Die Schlüssellänge beträgt 1024 Bit#🎜 🎜#Gruppe5 und die Schlüssellänge beträgt 1536 Bit.
Der Wert des für die Datenverschlüsselung verwendeten Schlüssels wird vom Algorithmus berechnet und kann vom Administrator nicht definiert und geändert werden Nachbarn)
#🎜🎜 #3, Verschlüsselungsalgorithmus (DES3DESAES)
4, Authentifizierungsmethode (MD5SHA)
Die dritte Stufe: Definieren Sie den Interessenfluss (Kommunikationsnetzwerksegment, basierend auf erweiterter ACL)
Phase 4: Security Association (SA)1. Nachbarn überprüfenRouter(config)#hostname R1 Bug datetime localtime
R1(config) #service Zeitstempel Protokoll DatumUhrzeit Ortszeit
R1( config-if)#kein Herunterfahren
R1(config-if)#exit ## 🎜🎜#R1(config)#interface tunnel10 bis if)# IP-Adresse 172.16.1.1 255.255.255.0
R1(config-if)#kein Herunterfahren
R1(config )#ip route 192.168.1.0 255.255.255.0 tunnel10
R1( config-isakmp)#authentication pre-share Authentication method
R1 (config-isakmp)#encryption des IKE Phase 1.5-Verschlüsselung (Datenverschlüsselung, Verschlüsselungsmethode, Standard ist DES)
R1( config-isakmp)#Gruppe-2-Schlüsselalgorithmus (Diffie-Hellman)
group1(768bit ), Gruppe2(1024bit), Gruppe5(1536bit), der Standardwert ist Gruppe1
R1(config-isakmp )#hash MD5-Authentifizierungsmethode
R1(config-isakmp)#exit#🎜🎜 #R1(config)#crypto isakmp key 6 Cisco-Adresse 23.1.1.3 255.255.255.0 Authentifizierung
R1 (config)#crypto isakmp keepalive 10 3 DPD alle 10 Sekunden senden, um ×××-Einrichtung zu erkennen, falls vorhanden Kommt innerhalb von 3 Sekunden keine Antwort, senden Sie sie dreimal #
R1(cfg-crypto-trans)#Modus Tunnelmodus, die Standardeinstellung ist der Tunnelmodusmodus
R1(cfg-crypto-trans)#exit
R1(config)#IP-Zugriffsliste erweitert interessiert Definition des interessierten Flusses
R1 (config-ext-nacl)#permit gre host 12.1.1.1 host 23.1.1.3 Der Host für die lokale Kommunikation und der Host für die Peer-Kommunikation
R1(config-ext-nacl)#permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255 Tunnelmodus definiert den Fluss von Interesse
R1(config-ext-nacl)#exit
R1(config)#crypto map IPSec *** 10 ipsec-isakmp-Sicherheitszuordnung (verbunden mit der oben genannten Datenkapselungsmethode, interessierter Fluss)
R1(config-crypto-map)# set peer 23.1.1.3 #🎜🎜 #
R1(config-crypto-map)#Match-Adresse interessiert
R1(config-crypto-map ) #exit
R1(config)#interface f0/0 nat
R1(config-ext-nacl)#10 erlauben ip 0.0.0.255 any
R1(config-ext- nacl)#exit
R1(config)#int loop0# 🎜🎜#R1(config-if)#ip nat inside
R1(config-if)#int s0/0
R1( config-if)#ip nat außerhalb
R1(config- if)#exit
R1(config)#ip nat innerhalb der Quellliste nat int f0/0 Überlastung
R1(config)#ip nat inside source static udp 192.168.2.2 4500 interface f0/0 4500#🎜 🎜#R1(config)#ip nat inside source static udp 192.168.2.2 500 interface f0/0 500
R3
Router>aktivieren
Router#Terminal konfigurieren
Router(config)#Hostname time
R3(config)#service timestamps log datetime localtime
R3(config) #Interface F0/0 Herunterfahren 🎜#R3 (config-if) #exit 255.255.0
R3 (config- if) #no stilldown
r3 (config-if)#exit# 🎜🎜#
R3(config)#ip route 0.0.0.0 0.0.0.0 23.1.1.2
R3(config)# interface tunnel11
R3(config-if)#tunnel source 23.1. 1.3
R3(config-if)#tunnelziel 12.1.1.1 255.255.255.0
R3(config-if)#tunnel mode gre ip
R3(config-if)#kein Herunterfahren #🎜🎜 #R3(config-if)#exit
R3(config )#ip route 10.1.1.0 255.255.255.0 tunnel11
R3(config)#crypto isakmp Policy 10
R3( config-isakmp)#authentication pre-share
R3(config -isakmp)#encryption des
R3(config-isakmp)#group 2
R3(config-isakmp)#hash md5#🎜 🎜#R3(config-isakmp)#exit
R3( config)#crypto isakmp key 6 Cisco-Adresse 12.1.1.1 255.255.255.0
R3(config)#crypto ipsec transform-set Cisco esp-des esp-md5-hmac
R3(cfg-crypto-trans)#mode tunnel
R3(cfg-crypto-trans)#exit
R3(config)# IP-Zugriffsliste erweitert interessiert
R3(config-ext-nacl)#permit gre host 23.1.1.3 host 12.1.1.1
R3(config-ext-nacl)#exit
#🎜🎜 #R3(config)#crypto map IPSec*** 10 ipsec-isakmp
R3(config-crypto-map)#peer 12.1.1.1
R3(config-crypto-map)#set transform- set cisco
R3(config-crypto-map)#Match-Adresse interessiert
R3(config-crypto-map)#exit
R3(config)#interface serial 0/1
R3(config-if)#crypto map IPSec** *
IPSec hat auch die Nachteile einer komplizierten Konfiguration, verbraucht mehr Rechenressourcen, erhöht die Latenz und unterstützt kein Multicast #
Richtlinie anzeigen:
Krypto-isakmp-Richtliniendefinition anzeigen Gemeinsamer Domänenschlüssel stellt ***-Verbindung her
Aktive Krypto-Engine-Verbindungen anzeigen Anzahl der verschlüsselten und entschlüsselten Pakete anzeigen
Clear crypto isakmp Clear IKE erste Phase
# 🎜🎜#clear crypto sa Clear IKE zweite Phase
Verkehrsoptimierung:
Zugriff -list 101 erlauben esp host 12.1.1.1 host 23.1.1.3 #🎜 🎜#
#? 🎜🎜#
Zweitens die letzten beiden Nachrichten im Hauptmodus Der Modus ist verschlüsselt und kann bereitgestellt werden. Identitätsschutzfunktion entsprechender vorinstallierter Schlüssel basierend auf der IP-Adresse. Das heißt, es ist nicht auf die IP-Adresse angewiesen, um die Identität zu identifizieren, was den brutalen Modus flexibler macht)
Sehen Sie sich die Ergebnisse über die Anzeige von ike sa an
1. Die erste Stufe von ike sa wurde erfolgreich eingerichtet
PeerDer Status dieser Sicherheitszuordnung
Flag wird angezeigt der Status dieser Sicherheitszuordnung
RD (bereit) zeigt an, dass SA erfolgreich eingerichtet wurde
RL (Ersetzt) zeigt an, dass dies der Fall ist Der Kanal wurde durch einen neuen Kanal ersetzt und wird nach einer gewissen Zeit gelöscht.
FD (Fading) zeigt dies an. Der Kanal hat zuvor einen Soft-Timeout erlebt und wird immer noch verwendet. Der Kanal wird gelöscht, wenn der Hard-Timeout auftritt
TO (Timeout) bedeutet, dass diese SA die Keepalive-Nachricht nach dem letzten Keepalive-Timeout nicht empfangen hat. Wenn das nächste Mal das Keepalive-Timeout auftritt und keine Keepalive-Nachricht empfangen wird, wird die SA gelöscht 🎜#TD (Löschen) zeigt an, dass die SA bald gelöscht wird.
NEG (Verhandeln) zeigt an, dass die IKE SA ausgehandelt und vom Tunnel generiert wird. Einige an beiden Enden festgelegte Parameter sind inkonsistent, was zu #🎜🎜 führt #D (DPD) zeigt an, dass die DPD-Erkennungsfunktion aktiviert ist und die DPD-Erkennung durchgeführt wird.
M (aktiv) zeigt an, dass der IKE-SA-Status „Haupt“ ist.
S (Standby) zeigt an, dass der IKE-SA-Status „Haupt“ ist Standby
A (allein) zeigt an, dass der IKE-SA-Status „Alone“ ist und es kein Backup zwischen IPSec-Tunneln gibt.
Diese SA gehört zur Phase: Phase1: Die Phase der Einrichtung eines sicheren Kommunikationskanals, dies Phase ist etabliert ISAKMP SA Phase2: Die Phase der Aushandlung von Sicherheitsdiensten. Zu diesem Zeitpunkt wird IPSec SA eingerichtet.
Die Sicherheitszuordnung wird eindeutig durch drei Elemente identifiziert (Sicherheitsprotokollnummer (AH oder ESP), Ziel-IP-Adresse, Sicherheitsparameterindex (SPI, Sicherheitsparameter). Index))# 🎜🎜#Der Sicherheitsparameterindex ist ein 32-Bit-Wert, der zur eindeutigen Identifizierung der SA generiert wird. Er wird im IPsec-Header
IPSec-IKE aggressive mode#🎜 übertragen 🎜#1. Tunnel zwei Das Problem der langsamen End-to-End-Aushandlung
2. Das Problem der Unsicherheit der Quelladresse des Initiators
(Wenn die IP-Adresse des Initiators dynamisch zugewiesen wird, da die IP-Adresse des Initiators kann dem Antwortenden nicht im Voraus bekannt sein, und beide Parteien planen, die Pre-Shared-Key-Überprüfungsmethode zu verwenden)
Im Tunnelmodus können ESP-Nachrichten die Vertraulichkeit der ursprünglichen IP-Header-Daten wahren #🎜🎜 #Die Konfiguration des vorinstallierten Schlüssels muss in „Beide Enden konfigurieren“ erfolgen und die Schlüssel auf beiden Seiten müssen konsistent sein
Funktionen, die AH implementieren kann (AH-Protokoll, AH ist ein Nachrichtenheader-Überprüfungsprotokoll. Die bereitgestellten Hauptfunktionen umfassen Daten Quellenüberprüfung, Datenintegritätsüberprüfung und Alarmverhinderung (Textwiedergabefunktion)
AH verschlüsselt die geschützten Daten nicht, daher kann keine Vertraulichkeit gewährleistet werden
Das obige ist der detaillierte Inhalt vonSo konfigurieren Sie IPsec-Anweisungen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!