Cisco网络层加密的配置与故障排除背景信息-第1部分.PDF

Cisco 网络层加密的配置与故障排除：背景信息 - 第 1 部分 目录 简介 先决条件 要求 使用的组件 规则 网络层加密背景信息和配置 密码学背景 定义 初步信息 警告 Cisco IOS网络网络层加密配置 步骤 1：请手工生成DSS密钥对 步骤 2： Exchange有对等体的(带外)手工DSS公共密钥 示例 1：专用链路的Cisco IOS配置 示例 2：多点帧中继的Cisco IOS配置 示例 3：加密对和通过路由器 示例4 ：DDR加密 示例5 ：IPX数据流的加密在IP隧道的 示例6 ：加密L2F通道 排除故障 排除故障与ESA的Cisco7200 排除故障带ESA的VIP2 相关信息 简介 本文与IPSec和互联网安全协会和密钥管理协议(ISAKMP)讨论配置和排除故障Cisco网络层加密并 且与IPSec和ISAKMP一起包括网络层加密背景信息和基本配置。 先决条件 要求 本文档没有任何特定的要求。 使用的组件 本文档中的信息基于以下软件和硬件版本： Cisco IOS®软件版本11.2及以上版本 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 网络层加密背景信息和配置 网络层加密功能在Cisco IOS软件版本11.2介绍。它为安全数据传输提供一机制并且包括两个组件： 路由器验证：在通过加密流量之前，两路由器执行一一次性，双向认证使用数字签字标准 (DSS)公共密钥签署随机的挑战。 网络层加密：对于IP有效载荷加密、路由器使用迪菲─赫尔曼密钥交换安全地生成DES(40-或 56位会话密钥的)，三重DES - 3DES(168-bit)或者更加最近的高级加密标准- AES(128- bit(default)或者192-bit或者256-bit在12.2(13)T锁上)，介绍。新的会话密钥生成根据一个可配置 基本类型。加密策略由使用扩展IP访问列表定义网络、子网、主机或者协议对将加密在路由器 之间的加密映射设置。 密码学背景 加密算法字段牵涉到保持通信专用。敏感通信的保护是加密算法重点在其发展历史中。加密是数据 的转换到一些不可读的表里。其目的将保证保密性通过保存信息隐藏从任何人为谁没有打算，即使 他们能看到已加密数据。解密是加密反向：它是已加密数据的转换回到一可理解表。 加密和解密要求一些秘密信息，通常被称为的使用“密钥”。根据使用的加密机制，同一密钥也许用 于加密和解密;当对于其他机制，用于加密的密钥和解密也许不同的时。 而一数字时间戳在特定时间，绑定文档对其创建数字签名绑定文档对一特定的密钥的持有人。这些 加密机制可以用于控制访问对一个共享磁盘驱动器，高安全性安装，或者对收费电视电视频道。 当现代加密算法是增长逐渐多样化时，加密算法根据是很难解决的问题根本上。问题可能是困难 ，因为其解决方案要求认识密钥，例如解密加密的消息或签署某个数字文档。问题可能也是困难 ，因为完成是内在地难的，例如查找引起一个给的Hash值的消息。 因为加密算法字段提前，什么是，并且什么的分界线不是加密算法变得弄脏。加密算法今天也许被 总结作为取决于数学问题的存在是很难解决技术和应用程序的研究。密码专家尝试减弱加密机制 ，并且隐语是联合的加密算法和密码分析学科。 定义 本部分定义本文档中使用的相关术语。 验证： 一种确认属性，即收到的数据实际上是由所声明的发送方发送的。 机密性：一种通信属性，它使得预定接收方知道所发送的内容，但非预定接收方不能确定所发 送的内容。 数据加密标准(DES) ：DES 使用对称密钥方法，也称为秘密密钥方法。这意味着，如果数据块 使用密钥加密，则必须使用相同的密钥解密已加密的数据块。因此，加密器和解密器必须使用 相同的密钥。即使加密方法已知并且已完全公布，公认的最佳攻击方法仍是通过暴力攻击。必 须针对已加密的数据块测试密钥，以了解密钥是否可以正确地解密它们。随着处理器日益强大 ，破解 DES 指日可待。例如，通过 Internet 中数以千计计算机的多余处理能力的共同努力，21 天就可以破解采用 DES 编码的消息的 56 位密钥。DES由美国国家安全局(NSA)验证每五年满 足的美国政府的目的。当前审批已于 1998 到期，并且 NSA 已表明