思科IPSec的配置（思科路由器不支持ipsec）

思科IPSec的配置（思科路由器不支持ipsec）

IPSec建立连接的过程一、对等体建立连接大体分为：1、流量触发：IPSec建立连接是首先是由对等体直接的数据流触发的。我们通过配置这些IPSec保护的数据流，可以明确哪些数据流会触发IPSec建立连接2、建立管理连接：IPSec使用ISAKMP/IKE阶段1来建立管理连接。管理连接不进行数据传输，只是数据传输前的准备工作。管理连接阶段需要明确对等体之间的哪种设备验证方式、加密算法、认证算法以及DH密钥组等。3、建立数据连接：基于阶段1建立的安全的管理连接之上，使用ISAKMP/IKE阶段2来完成。数据连接需要明确具体使用的安全协议的加密或者验证算法，以及数据的传输模式等。二、ISAKMP/IKE阶段1建立过程1、交换ISAKMP/IKE传输集ISAKMP/IKE传输集是一组用来保护管理连接的策略，包括1）加密算法：3des、des、aes2）HMAC：MD5、SHA-13）设备验证类型：预共享密钥、RSA签名4）DH密钥组：一般思科路由支持1、2、55）管理连接的生存周期2、通过DH算法实现密钥转换3、实现设备之间的验证三、ISAKMP/IKE阶段2建立过程1、安全关联（SA）IPSec需要在对等体之间建立一条逻辑连接，这是使用了一个信令协议实现，也就是SA，因为IPSec需要无连接的IP在运行在就要成为面向连接的协议。SA由三要素定义：1）安全参数索引（SPI）2）安全协议的类型，包括AH和ESP协议3）目的地址2、ISAKMP/IKE阶段2的传输集1）安全协议，AH和ESP协议2）连接模式，隧道模式、传输模式3）加密算法，3des，aes等4）验证方式：MD5、SHA-1

配置过程一、配置IPSec打通隧道1、首先需要内网有一条通往ISP的默认路由ip route 0.0.0.0 0.0.0.0 202.2.2.2注释：202.2.2.2模拟ISP地址2、配置ISAKMP策略crypto isakmp policy 1注释：1为策略序列号，取值范围是1~10000，值越小，优先级越高encryption 3deshash shaauthentication pre-sharegroup 5注释：5为DH密钥组号，取值为1、2、5、6lifetime 10000注释：lifetime为管理连接生存时间，单位是秒（s）crypto isakmp 0 password-key address 101.1.1.1注释：该命令为建立共享密钥；0表示密钥使用明文，如果取值6表示密文；101.1.1.1为对端的外网口地址3、配置IPSec保护的数据流（感兴趣的数据流）access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255注释：源IP地址为本地局域网的地址，目标为对端的局域网地址；定义ACL是为了明确这些数据流会通过隧道技术转发。4、定义传输集crypto ipsec transform-set kaifabu-set esp-des ah-sha-hmac注释：kaifabu-set为该传输集的名称，后面跟上传输集选项（esp-des、ah-sha-hmac）mode tunnelexitcrypto ipsec security-association lifetime seconds 1800注释：输入exit是为退回到全局模式，可在该模式下设置数据连接的生存周期5、配置加密映射crypto map kaifabu-map 1 ipsec-isakmp注释：1为加密映射的序列号，取值1~65535，值越小，优先级越高set peer 101.1.1.1注释：101.1.1.1为对端外网口地址set transform-set kaifabu-set注释：在加密映射中调用kaifabu-set这个传输集match address 100注释：100前面定义的ACL100，这里是为了调用该ACL6、应用加密映射到外网口interface f0/0crypto map kaifabu-map二、配置PAT连接到Internetaccess-list 101 deny 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255access-list 101 permit 192.168.1.0 0.0.0.255 any注释：ACL配置要拒绝掉IPSec保护的数据流，使该数据流不进行PAT的转换，然后再允许内网地址通往所有的网段实现上网。ip nat inside source list 101 interface f0/0 overloadinterface f0/0ip nat outsideinterface f0/1ip nat inside

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。