IPSec-副本选编.ppt

IPSec协议及配置 IPSec安全结构 IPSec 安 全 结 构 包 括3 个 基 本 协 议：AH 协 议 为IP 包 提 供 信 息 源 验 证 和 完 整 性 保 证；ESP 协 议 提 供 加 密 保 证； 密 钥 管 理 协 议(ISAKMP) 提 供 双 方 交 流 时 的 共 享 安 全 信 息。ESP 和AH 协 议 都 有 相 关 的 一 系 列 支 持 文 件， 规 定 了 加 密 和 认 证 的 算 法。 最 后， 解 释 域（DOI） 通 过 一 系 列 命 令、 算 法、 属 性、 参 数 来 连 接 所 有 的IPSec 组 文 件。 AH与ESP AH可证明数据的起源地（数据来源认证）、保障数据的完整性以及防止相同的数据包不断重播（抗重放攻击） ESP能提供的安全服务则更多，除了上述AH所能提供的安全服务外，还能提供数据机密性，这样可以保证数据包在传输过程中不被非法识别 AH与ESP提供的数据完整性服务的差别在于，AH验证的范围还包括数据包的外部IP头 为了保证系统的安全性，建议AH和ESP一起使用 IPSec配置步骤 配置变换组 指定封装安全性协议 指定鉴别数据头协议 指定隧道模式与传输模式 创建并配置密码映射 创建密码映射条目 指定IPSec对等设备 指定感兴趣数据流 配置密钥管理 对接口应用密码映射 指定对应使用的变换组 配置变换组 1、Router(config)#crypto ipsec trasnform-set transform-name protocol1 protocol2 protocol3 protocol ah-md5-hmac ah-sha-hmac (AH) esp-3des esp-null (ESP加密) esp-md5-hmac esp-sha-hmac (ESP鉴别) 2、Router(cfg-crypto-trans)#mode mode-of-operation mode-of-operation tunnel transport 手动方法配置IPSec SA密钥 1.Router(config)#crypto map name-of-map sequence-number ipsec-manual 2.Router(config-crypto-map)#match address access-list 3.Router(config-crypto-map)#set peer VPN-ip-address 4.Router(config-crypto-map)#set transform-set transform-set-name 5.Router(config-crypto-map)#set session-key direction esp spi protocol key Router(config-crypto-map)#set session-key direction ah spi key direction inbound outbound spi 256-4294967295 protocol cipher authenticator 6.Router(config-if)#crypto map name-of-map 示例1:路由器A hostname RouterA ! crypto ipsec transform-set Project esp-des ! crypto map Manual 30 ipsec-manual set peer 192.168.20.2 set security-association inbound esp 256 cipher abcdabcdabcdabcd set security-association outbound esp 1257 cipher 1010101010101010 set transform-set Project match address 103 ! interface Serial0 ip address 192.168.10.2 255.255.255.0 crypto map Manual ! access-list 103 permit ip 192.168.1.0 0.0.0.255 192.168.120.0 0.0.0.255 示例1:路由器B hostname RouterB ! crypto ipsec transform-set TempTransform