×××:<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

目標：低費用：DDN是每月約6000元/月，幀中繼是每月約3000元/月，用低廉的遠程連接幾個園區網。

安全：

相關的這些技術統稱：×××

1.??????? 保證數據的機密性（讓別人看不懂），方法：加密，暗文

2.??????? 保證數據的完整性（讓別人不能修改）

3.??????? 源起證明。（身份認證）

1.??????? 機密性：（對IP包的每個字節的加密）

a)??????? 對稱密碼系統（pre-share）：加、解密的KEY是一樣的（這樣的快一些）

???????????????????????? i.????????????? des: key為56位（70年代的技術）

?????????????????????? ii.????????????? aes: key為128位（測試階段，還未實用）

????????????????????? iii.????????????? 3des: key為3個56位。（現在用的）

b)??????? 公匙、私匙：（慢）

???????????????????????? i.????????????? 公匙與私匙唯一對應（就好像存折的存折號和存折的密碼的關系）

?????????????????????? ii.????????????? RAS標準

2.??????? 完整性：

用散列算法實現保證完整性。一個任意長的數據，用散列函數可算出64字節的數據標簽來對應它。標簽放在包里，收者對比是否一致。

? 散列算法標準：SHA

??????????????? HMA ：用key加密

??????????????? MD5：不用key加密

?

Ipsec(IP security)技術：

1.??????? AH：認證IP頭（頭是路由信息），其中TTL字段、FCS校驗和不能加入。

???? 可用于×××明、完整性2個方面。

2.??????? ESP：對IP包的數據部分處理。

???????? ×××明、完整性、機密性3個方面都可引用。

?

SA(安全結合者)：相連2個路由器，IPsec的參數協商統一后的結果。

??????????????? 一般會放在本地的SA的數據庫中。

Ike(internet key 交換)：是一組協議。

??????????????? ??????目的：2個路由器建立SA

????????????????????? 包括：iSAkmp(internet SA key management priority)等等協議

?

Ipsec的指令配置： ? ? ? ? ?

1.??????? <?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />做訪問列表，指定哪些包加密。

A:access-list 1 permit <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />10.1.1.0? 0.0.0.255

2.??????? 保證Ike的SA，即保證協商的過程。

A:crypto isakmp policy 110???????????????? ?????????(110是Ike策略的序號)

??? Auth pre-share??????????????????????????????? (對稱密碼系統，保證第一次Ike的過程安全)

??? Encrypto des

??? Hash MD5??????????????????????????????????? (散列標準：MD5)

??? Lefttime 6000????????????????????????????????? (110只有6000秒的存活時間？)

? Crypto iSAkmp key ciscokey ip 10.1.1.2 ????????????(ciscokey 是key)

3.??????? Ipsec的SA

Crypto Ipsec transfrom cisco esp-des AH-MD5???????? (cisco是Ipsec的策略名，key由Ike協商后決定的)

4.??????? 用map組合以上步驟：

crypto map ciscomap 110 Ipsec-isakmp??????????????????? (Ipsec-isakmp調用第二步)

match address 1?? ?????????????????????????????????(這個1是指訪問列表1)

??? set peer 10.1.1.2

??? set transfrom ciscokey???????????????????????????? (ciscokey對應第二步的那個key)

5.??????? 在接口上應用

int s0

??? crypto map ciscomap

?

B上同樣也要做這樣的設定,只有第二、四步的那個IP變為10.1.1.1

B: access-list 1 permit 10.1.1.0? 0.0.0.255

crypto isakmp policy 110????????????????????????? (110是Ike策略的序號)

??? Auth pre-share??????????????????????????????? (對稱密碼系統，保證第一次Ike的過程安全)

??? Encrypto des

??? Hash MD5??????????????????????????????????? (散列標準：MD5)

??? Lefttime 6000??????????????? ??????????????????(110只有6000秒的存活時間？)

? Crypto iSAkmp key cisco ip 10.1.1.1?????????????? (cisco 是key)

Crypto Ipsec transfrom cisco esp-des AH-MD5???????? (cisco是Ipsec的策略名，key由Ike協商后決定的)

crypto map ciscomap 110 Ipsec-isakmp?????????????? (Ipsec-isakmp調用第二步)

match address 1??????????????????????????????????? (這個1是指訪問列表1)

??? set peer 10.1.1.1

??? set transfrom ciscokey???????????????????????????? (ciscokey對應第二步的那個key)

int s0

??? crypto map ciscomap

?

轉載于:https://blog.51cto.com/makeguan/87268

總結

以上是生活随笔為你收集整理的再想想-----***的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。