CiscoRouteL2LIPsecVPN配置详细说明文档.docxVIP

IPsec 介绍 密钥 对称密钥 特点： 同一个密钥用于加解密 优点： 速度快 安全 紧凑 缺点： 明文传输共享密钥，容易出现中途劫持和窃听的问题。 密钥数量是以参与者数量平方数量增长（指数增长）。 因为数量过多，所以管理和存储多有不便。 不支持数字签名 非对称密钥 特点： 公钥加密，私钥解密。 仅仅用于：密钥交换和数字签名 优点： 安全，因为不必发送密钥给接收者，所以不必担心中途被劫持。 不需要实现和个参与者之间建立关系来交换密钥。 支持数字签名 缺点： 加解密速度慢 密文大小变大 加密 DES – Created by IBM,56-bit key； 3DES – Uses three DES keys on each block of data to create 168-bit keys； AES – Newer，MORE efficient algorithm ， 128- ，192- ，and 256-bit…or lager； RSA- DH – used commonly on VPN connections to allow secure transfer of shared secret keys，768-，1024-，1536-bit…Or lager 散列函数 特点： 固定大小 雪崩效应 单向计算，不可逆 不重复 算法： MD5 SHA-1 ipsec 组成部分 ESP(负载安全封装)协议 （封装） 认证头（AH）协议 （封装） Internet，密钥交换（lke）协议 ipsec工作模式 Transport Mode 将AH头或者ESP头插入到原有数据包中，一边用在通讯点和加密点相同的情况下。 Tunnel Mode 将原有数据包再次封装，一般用在通讯点和加密点不同的情况下。 IKE介绍 IKE负责建立和维护IKE SA 和IPsec SA。功能主要体现在如下几个方面： 对双方进行验证 交换公共密钥，产生密钥资源，管理密钥 协商协议参数（封装，加密，验证…） L2L俩端固定ip配置： 配置方法一 R1: crypto isakmp policy 10创建IKE策略 创建IKE策略 encr 3des配置加密方式,默认 配置加密方式,默认des hash md5配置HASH,默认sha-1 配置HASH,默认sha-1 authentication pre-share认证方法，默认证书认证 认证方法，默认证书认证 group 2 crypto isakmp key ciscoIKE共享密钥 address 202.100.1.2对端地址 IKE共享密钥 对端地址 crypto ipsec transform-set ipsec esp-3des esp-md5-hmac 创建IPSEC转换集 创建IPSEC转换集,模式默认为tunnel模式 crypto map ipsec 10 ipsec-isakmp 创建MAP 创建MAP set peer 202.100.1.2 set transform-set ipsec match address ipsec interface Loopback0 ip address 1.1.1.1 255.255.255.0 interface FastEthernet0/0 ip address 202.100.1.1 255.255.255.0 crypto map ipsec在外网物理接口调用 在外网物理接口调用 ip route 0.0.0.0 0.0.0.0 202.100.1.2 ip access-list extended ipsec permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 R2: crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key cisco address 202.100.1.1 crypto ipsec transform-set ipsec esp-3des esp-md5-hmac crypto map ipsec 10 ipsec-isakmp set peer 202.100.1.1 set transform-set ipsec match address ipsec interface Loopback0 ip address 2.2.2.1 255.255.255.0 interface FastEt