网络互联技术chp24GRE与IPSecVPN24.2IPSecVPN.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 阶段一：在两个对等体设备之间建立一个安全的管理连接。没有实际的数据通过这个连接。这个管理连接是用来保护第二阶段协商过程的。 第一阶段：建立ISAKMP SA 协商的是以下信息： 1、对等体之间采用何种方式做认证，是预共享密钥还是数字证书。 2、双方使用哪种加密算法 3、双方使用哪种HMAC方式，是MD5还是SHA 4、双方使用哪种Diffie-Hellman密钥组 5、使用哪种协商模式（主模式或主动模式） 6、还要协商SA的生存期 * * 阶段二：当对等体之间有了安全的管理连接之后，它们就可以接着协商用于构建安全数据连接的安全参数，这个协商过程是安全的，加了密的。协商完成后，将在两个站点间形成安全的数据连接。用户就可以利用这些安全的数据连接来传输自已的数据了。 第二阶段：建立IPsec SA 协商的是以下信息： 1、双方使用哪种封装技术，AH还是ESP 2、双方使用哪种加密算法 3、双方使用哪种HMAC方式，是MD5还是SHA 4、使用哪种传输模式，是隧道模式还是传输模式 5、还要协商SA的生存期 * * * * * * * * ISAKMP commands: authentication Set authentication method for protection suite default Set a command to its defaults encryption Set encryption algorithm for protection suite exit Exit from ISAKMP configuration mode group Set the Diffie-Hellman group hash Set hash algorithm for protection suite lifetime Set lifetime for ISAKMP security association no Negate a command or set its defaults Syntax Description authentication {rsa-sig | rsa-encr | pre-share} rsa-sig Specifies RSA signatures as the authentication method. rsa-encr Specifies RSA encrypted nonces as the authentication method. pre-share Specifies pre-shared keys as the authentication method. encryption des des Specifies 56-bit DES-CBC as the encryption algorithm. * Syntax Description (con’t) hash {sha | md5} sha Specifies SHA-1 (HMAC variant) as the hash algorithm. md5 Specifies MD5 (HMAC variant) as the hash algorithm. group {1 | 2} 1 Specifies the 768-bit Diffie-Hellman group. 2 Specifies the 1024-bit Diffie-Hellman group. lifetime seconds seconds Specifies how many seconds each SA should exist before expiring. Use an integer from 60 to 86,400 seconds. Default encryption (IKE policy); default = 56-bit DES-CBC hash (IKE policy); default = SHA-1 authentication (IKE policy);