SANGFOR_IPSEC_V4.3_2012年度培训06_标准IPSECVPN互联配置_20120602选编.pptVIP

SANGFOR标准IPSEC 典型应用案例及配置 野蛮模式互联（SANGFOR设备固定IP，CISCO为拨号） conf t //进入特权模式配置 crypto isakmp policy 100 //创建isakmp策略（第一阶段） hash md5 //hash算法 encry 3des //加密算法 group 2 //DH群 auth pre-share //身份认证方式 exit //退出isakmp策略配置 crypto isakmp peer address //创建isakmp对端地址 set aggressive-mode password sangfor //创建预共享密钥 set aggressive-mode client-endpoint fqdn cisco //创建本端野蛮模式ID exit //退出 crypto ipsec transform-set sangfor esp-3des esp-md5-hmac //创建变换集及策略 mode tunnel //配置成隧道模式 exit //退出 SANGFOR标准IPSEC 典型应用案例及配置 access-list 100 permit ip 55 55 access-list 100 permit ip 55 55//创建ACL，类似我们的出入站策略，允许本端网段访问对端网段 crypto map sangfor 100 ipsec-isakmp //创建映射图 set peer 0 //配置对端地址 set pfs group2 //配置完美密钥向前保护（跟第一阶段一致） set transform-set sangfor //绑定变换集到映射图 set security-association lifetime seconds 28800 //设置第二阶段SA时间 match address 100 //匹配ACL exit //退出 int e0/0 //进入接口 crypto map sangfor //将映射图绑定到接口 exit //退出 SANGFOR标准IPSEC 典型应用案例及配置 野蛮模式互联（SANGFOR设备固定IP，CISCO为拨号） SANGFOR设备配置：1. 设置第一阶段，双方身份认证，设置参数和CISCO保持一致。 选择野蛮模式 本例中，对端IP为动态IP 填写两端的身份ID，注意，此案例的环境下，对端ID后不需要加. SANGFOR标准IPSEC 典型应用案例及配置 2. 按协商好的IPSec参数对数据流进行加密、hash等保护，保持和CISCO配置一致。 在安全选项中选择协议，认证算法和加密码算法，与对端设备一致 SANGFOR标准IPSEC 典型应用案例及配置 3. 第二阶段，在上述安全通道上协商IPSec参数，设备出入站策略，出站策略为/24，/24，入站策略为/24。 设置出入站策略 练练手 某公司客户购买了一台5400加速设备，网关部署在总部，已经有一个分支授权，现在分公司有一台其它厂商的设备，并具有标准IPSEC VPN的功能。客户希望通过VPN连接实现分公司和总部双向互访。 您来试试吧！ 问题思考 1.标准IPSEC VPN如何保证数据完整性的？ 2.标准IPSEC VPN的建立有哪几个阶段？在哪个进行身份认证？ 3.标准IPSEC VPN有哪两种模式？ * * 培训内容 培训目标 标准IPSEC VPN功能介绍 1. 了解标准IPSEC VPN的应用背景 标准IPSEC VPN建立过程 了解标准IPSEC VPN建立连接的过程 SANGFOR 设备标准IPSEC VPN互联配置案例 1. 掌握和第三方设备进行标准IPSEC VPN互联时，SANGFOR 设备的配置 标准IPSEC VPN功能介绍 标准IPSEC VPN建立过程 SANGFOR标准IPSEC VPN典型应用案例及配置 SANGFOR IPSEC 练练手 标准IPSEC VPN功能介绍 IPSec是一种开放标准的框架结构，特定的通信方之间在IP 层通过加密和数据摘要(hash)等手段，来保证数据包在Internet 网上传输时的私密性(confidentiality) 、完整性(data integrity)和真实性(origin authentication)。 标准IPSEC VPN功能介绍 通过加密保证数据的私密性 私密性：防止信息泄漏给未经授权的个人 通过加密把数据从明文变成无法读懂的密文，从而确保数据的私密性 Internet 4ehIDx67NMop9eR U78IOPotVBn45TR 土豆批发价两块钱一斤 实在是 看不懂 加密 4ehIDx67NMop9e