IP安全（IPsec）加密简介.PDF

IP 安全 (IPsec) 加密简介 目录 简介 先决条件 要求 使用的组件 规则 背景 加密术语（词汇表） 配置 ISAKMP 1. 预共享密钥 2. 使用 CA 配置 IPsec 创建扩展 ACL 创建 IPsec 转换 创建加密映射 在接口上应用加密映射 内存与 CPU 注意事项 show 命令的输出 IKE 相关输出 IPsec 相关 show 命令 示例配置 网络图 配置 调试信息 IPsec 实施提示 帮助与相关链接 IPsec 信息 IPsec 的更多示例配置 参考 相关信息 简介 本文档以快速简明的方式为用户介绍 IPsec。本文档包含使用预共享密钥的 Internet 密钥交换 (IKE)、使用证书颁发机构的 IKE 以及 IPsec 的基本配置。本文档不是详尽的文档，但仍然可帮助您 了解相关任务及这些任务的执行顺序。 警告： 美国对强加密算法产品的出口有严格的限制。如果您违反美国联邦法律，则您（而 不是 Cisco）需承担相应责任。如果对出口控制有任何疑问，请发送电子邮件到 export@。 注意： 正常的 LAN 到 LAN 隧道或端接到任何设备的 VPN 客户端不支持组播和广播。组播仅可以 在 GRE 隧道上传送。只有路由器可支持组播，VPN 3000 集中器或防火墙 (ASA/PIX) 不支持组播 。 先决条件 要求 本文档没有任何特定的要求。 使用的组件 本文档不限于特定的软件和硬件版本。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 背景 IPsec是Cisco安全平台的(Cisco IOS软件下一代网络层crypto平台， PIX，等等)。IPsec 最初在 RFC 1825-1829 中进行了说明，但这些 RFC 现已过时，目前 IETF IP 安全工作组 提供的大量文档 中对 IPsec 进行了讨论。 IPsec 当前支持 IP 版本 4 单播数据包。后续将支持 IPv6 和组播。 IPsec 较目前 Cisco 的加密产品具有以下优势： 1. 多供应商 — 由于 IPsec 框架是标准化的，因此客户不会受限于任何特定的供应商产品。IPsec 在路由器、防火墙和客户端桌面（Windows、Mac 等）上都会出现。 2. 可扩展性 — IPsec 的设计考虑了大型企业的使用要求。因此，它有内置的密钥管理。 注意： 虽然有多个 Cisco 平台可以使用 IPsec，但本文档主要针对 Cisco IOS 软件编写而成。 加密术语（词汇表） 您需要了解以下术语以便理解 IPsec 和阅读本文档的其他内容。当您在本文档的其他部分看到缩写 词时，请参考此页的定义。 高级加密标准 (AES) — AES 是符合联邦信息处理标准 (FIPS) 的加密算法，用于保护电子数据传输 (FIPS PUB 197)。AES 基于 Rijndael 算法，该算法指定如何使用 128、192 或 256 位的密钥加密 128、192 或 256 位的块。总共有九种可能的密钥长度和块长度组合。 认证报头 (AH) — 这是提供认证和可选重播检测服务的安全协议。AH 嵌入在要保护的数据（例如 ，完整 IP 数据报）中。AH 可以单独使用或与加密服务有效载荷 (ESP) 一起使用。请参阅 RFC 2402 。 认证 — 这是 IPsec 框架的其中一个功能。认证能够确定数据流的完整性，并保证传输中数据流没 有被窜改。它还能确认数据流的来源。 证书颁发机构 (CA) — 它是负责签发和撤销证书的第三方实体。具有自己的证书和 CA 公共密钥的 每台设备均可以对特定 CA 域中的其他设备进行身份验证。此术语也适用于提供这些服务的服务器 软件。 证书 — 用密码签名的对象，包括一个身份及与此身份相关联的公共密钥。 经典加密 — 这是 Cisco IOS 软件版本 11.2 中使用的 Cisco 专有加密机制。经典加密也可用于 Cisco IOS 软件版本 11.3。但是，并没有对 IPsec 进行改动以使其适用于 Cisco IOS 软件版本 11.2。在市场宣传资料中，您可能会发现“经典加密”也被称为“Encryption Express”或“Cisco 加密技 术 (CET)”。 证书撤销列表 (CRL) — 这是一个数字签名消息，列出所有已被特定 CA 撤销的当前证书。它类似于 一本记录了被盗用的信用卡卡号的册子，该册子使商店可以拒绝有不良记录的信用卡。 加密映射 — 这是执行两个主要功能的 Cisco IOS