久久久久无码精品,四川省少妇一级毛片,老老熟妇xxxxhd,人妻无码少妇一区二区

思科IPSec基本命令

時(shí)間:2024-08-16 00:32:00 思科認(rèn)證 我要投稿
  • 相關(guān)推薦

思科IPSec基本命令匯總

  “Internet 協(xié)議安全性 (IPSec)”是一種開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu),通過(guò)使用加密的安全服務(wù)以確保在 Internet 協(xié)議 (IP) 網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊。那么思科怎么配置IPSec呢?配置命令如何?下面跟yjbys小編一起來(lái)看看吧!

  一、IPSec一些基本命令。

  R1(config)#crypto ?

  dynamic-map Specify a dynamic crypto map template

  //創(chuàng)建或修改一個(gè)動(dòng)態(tài)加密映射表

  ipsec Configure IPSEC policy

  //創(chuàng)建IPSec安全策略

  isakmp Configure ISAKMP policy

  //創(chuàng)建IKE策略

  key Long term key operations

  //為路由器的SSH加密會(huì)話產(chǎn)生加密密鑰。后面接數(shù)值,是key modulus size,單位為bit

  map Enter a crypto map

  //創(chuàng)建或修改一個(gè)普通加密映射表

  Router(config)#crypto dynamic-map ?

  WORD Dynamic crypto map template tag

  //WORD為動(dòng)態(tài)加密映射表名

  Router(config)#crypto ipsec ?

  security-association Security association parameters

  // ipsec安全關(guān)聯(lián)存活期,也可不配置,在map里指定即可

  transform-set Define transform and settings

  //定義一個(gè)ipsec變換集合(安全協(xié)議和算法的一個(gè)可行組合)

  Router(config)#crypto isakmp ?

  client Set client configuration policy

  //建立地址池

  enable Enable ISAKMP

  //啟動(dòng)IKE策略,默認(rèn)是啟動(dòng)的

  key Set pre-shared key for remote peer

  //設(shè)置密鑰

  policy Set policy for an ISAKMP protection suite

  //設(shè)置IKE策略的優(yōu)先級(jí)

  Router(config)#crypto key ?

  generate Generate new keys

  //生成新的密鑰

  zeroize Remove keys

  //移除密鑰

  Router(config)#crypto map ?

  WORD Crypto map tag

  //WORD為map表名

  二、一些重要命令。

  Router(config)#crypto isakmp policy ?

  <1-10000> Priority of protection suite

  //設(shè)置IKE策略,policy后面跟1-10000的數(shù)字,這些數(shù)字代表策略的優(yōu)先級(jí)。

  Router(config)#crypto isakmp policy 100//進(jìn)入IKE策略配置模式,以便做下面的配置

  Router(config-isakmp)#encryption ?//設(shè)置采用的加密方式,有以下三種

  3des Three key triple DES

  aes AES - Advanced Encryption Standard

  des DES - Data Encryption Standard (56 bit keys).

  Router(config-isakmp)#hash ? //采用的散列算法,MD5為160位,sha為128位。

  md5 Message Digest 5

  sha Secure Hash Standard

  Router(config-isakmp)#authentication pre-share//采用預(yù)共享密鑰的認(rèn)證方式

  Router(config-isakmp)#group ?//指定密鑰的位數(shù),越往下安全性越高,但加密速度越慢

  1 Diffie-Hellman group 1

  2 Diffie-Hellman group 2

  5 Diffie-Hellman group 5

  Router(config-isakmp)#lifetime ? //指定安全關(guān)聯(lián)生存期,為60-86400秒

  <60-86400> lifetime in seconds

  Router(config)#crypto isakmp key *** address XXX.XXX.XXX.XXX

  //設(shè)置IKE交換的密鑰,***表示密鑰組成,XXX.XXX.XXX.XXX表示對(duì)方的IP地址

  Router(config)#crypto ipsec transform-set zx ?

  //設(shè)置IPsec交換集,設(shè)置加密方式和認(rèn)證方式,zx是交換集名稱,可以自己設(shè)置,兩端的名字也可不一樣,但其他參數(shù)要一致。

  ah-md5-hmac AH-HMAC-MD5 transform

  ah-sha-hmac AH-HMAC-SHA transform

  esp-3des ESP transform using 3DES(EDE) cipher (168 bits)

  esp-aes ESP transform using AES cipher

  esp-des ESP transform using DES cipher (56 bits)

  esp-md5-hmac ESP transform using HMAC-MD5 auth

  esp-sha-hmac ESP transform using HMAC-SHA auth

  例:Router(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac

  Router(config)#crypto map map_zx 100 ipsec-isakmp

  //建立加密映射表,zx為表名,可以自己定義,100為優(yōu)先級(jí)(可選范圍1-65535),如果有多個(gè)表,數(shù)字越小的越優(yōu)先工作。

  Router(config-crypto-map)#match address ?//用ACL來(lái)定義加密的通信

  <100-199> IP access-list number

  WORD Access-list name

  Router(config-crypto-map)#set ?

  peer Allowed Encryption/Decryption peer.//標(biāo)識(shí)對(duì)方路由器IP地址

  pfs Specify pfs settings//指定上面定義的密鑰長(zhǎng)度,即group

  security-association Security association parameters//指定安全關(guān)聯(lián)的生存期

  transform-set Specify list of transform sets in priority order

  //指定加密圖使用的IPSEC交換集

  router(config-if)# crypto map zx

  //進(jìn)入路由器的指定接口,應(yīng)用加密圖到接口,zx為加密圖名。

  三、一個(gè)配置實(shí)驗(yàn)。

  實(shí)驗(yàn)拓?fù)鋱D:

  1.R1上的配置。

  Router>enable

  Router#config terminal

  Enter configuration commands, one per line. End with CNTL/Z.

  Router(config)#hostname R1

  //配置IKE策略

  R1(config)#crypto isakmp enable

  R1(config)#crypto isakmp policy 100

  R1(config-isakmp)#encryption des

  R1(config-isakmp)#hash md5

  R1(config-isakmp)#authentication pre-share

  R1(config-isakmp)#group 1

  R1(config-isakmp)#lifetime 86400

  R1(config-isakmp)#exit

  //配置IKE密鑰

  R1(config)#crypto isakmp key 123456 address 10.1.1.2

  //創(chuàng)建IPSec交換集

  R1(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac

  //創(chuàng)建映射加密圖

  R1(config)#crypto map zx_map 100 ipsec-isakmp

  R1(config-crypto-map)#match address 111

  R1(config-crypto-map)#set peer 10.1.1.2

  R1(config-crypto-map)#set transform-set zx

  R1(config-crypto-map)#set security-association lifetime seconds 86400

  R1(config-crypto-map)#set pfs group1

  R1(config-crypto-map)#exit

  //配置ACL

  R1(config)#access-list 111 permit ip 192.168.1.10 0.0.0.255 192.168.2.10 0.0.0.255

  //應(yīng)用加密圖到接口

  R1(config)#interface s1/0

  R1(config-if)#crypto map zx_map

  2.R2上的配置。

  與R1的配置基本相同,只需要更改下面幾條命令:

  R1(config)#crypto isakmp key 123456 address 10.1.1.1

  R1(config-crypto-map)#set peer 10.1.1.1

  R1(config)#access-list 111 permit ip 192.168.2.10 0.0.0.255 192.168.1.10 0.0.0.255

  3.實(shí)驗(yàn)調(diào)試。

  在R1和R2上分別使用下面的命令,查看配置信息。

  R1#show crypto ipsec ?

  sa IPSEC SA table

  transform-set Crypto transform sets

  R1#show crypto isakmp ?

  policy Show ISAKMP protection suite policy

  sa Show ISAKMP Security Associations

  四、相關(guān)知識(shí)點(diǎn)。

  對(duì)稱加密或私有密鑰加密:加密解密使用相同的私鑰

  DES--數(shù)據(jù)加密標(biāo)準(zhǔn) data encryption standard

  3DES--3倍數(shù)據(jù)加密標(biāo)準(zhǔn) triple data encryption standard

  AES--高級(jí)加密標(biāo)準(zhǔn) advanced encryption standard

  一些技術(shù)提供驗(yàn)證:

  MAC--消息驗(yàn)證碼 message authentication code

  HMAC--散列消息驗(yàn)證碼 hash-based message authentication code

  MD5和SHA是提供驗(yàn)證的散列函數(shù)

  對(duì)稱加密被用于大容量數(shù)據(jù),因?yàn)榉菍?duì)稱加密站用大量cpu資源

  非對(duì)稱或公共密鑰加密:

  RSA rivest-shamir-adelman

  用公鑰加密,私鑰解密。公鑰是公開(kāi)的,但只有私鑰的擁有者才能解密

  兩個(gè)散列常用算法:

  HMAC-MD5 使用128位的共享私有密鑰

  HMAC-SHA-I 使用160位的私有密鑰

  ESP協(xié)議:用來(lái)提供機(jī)密性,數(shù)據(jù)源驗(yàn)證,無(wú)連接完整性和反重放服務(wù),并且通過(guò)防止流量分析來(lái)限制流量的機(jī)密性,這些服務(wù)以來(lái)于SA建立和實(shí)現(xiàn)時(shí)的選擇。

  加密是有DES或3DES算法完成。可選的驗(yàn)證和數(shù)據(jù)完整性由HMAC,keyed SHA-I或MD5提供

  IKE--internet密鑰交換:他提供IPSEC對(duì)等體驗(yàn)證,協(xié)商IPSEC密鑰和協(xié)商IPSEC安全關(guān)聯(lián)

  實(shí)現(xiàn)IKE的組件

  1:des,3des 用來(lái)加密的方式

  2:Diffie-Hellman 基于公共密鑰的加密協(xié)議允許對(duì)方在不安全的信道上建立公共密鑰,在IKE中被用來(lái)建立會(huì)話密鑰。group 1表示768位,group 2表示1024位

  3:MD5,SHA--驗(yàn)證數(shù)據(jù)包的散列算法。RAS簽名--基于公鑰加密系統(tǒng)

【思科IPSec基本命令】相關(guān)文章:

思科交換機(jī)基本配置命令大全06-10

關(guān)于思科路由器的基本配置命令大全03-06

思科配置命令詳細(xì)介紹01-23

思科認(rèn)證基礎(chǔ):Switching命令大全03-05

2016最新思科常用學(xué)習(xí)命令03-04

思科最實(shí)用的技術(shù)命令大全03-11

思科交換機(jī)常用的100個(gè)命令03-11

思科與H3C配置命令對(duì)比03-03

linux常用基本命令(文件處理命令)11-29