1. <tt id="5hhch"><source id="5hhch"></source></tt>
    1. <xmp id="5hhch"></xmp>

  2. <xmp id="5hhch"><rt id="5hhch"></rt></xmp>

    <rp id="5hhch"></rp>
        <dfn id="5hhch"></dfn>

      1. 思科IPSec基本命令

        時間:2024-08-16 00:32:00 思科認證 我要投稿
        • 相關推薦

        思科IPSec基本命令匯總

          “Internet 協議安全性 (IPSec)”是一種開放標準的框架結構,通過使用加密的安全服務以確保在 Internet 協議 (IP) 網絡上進行保密而安全的通訊。那么思科怎么配置IPSec呢?配置命令如何?下面跟yjbys小編一起來看看吧!

          一、IPSec一些基本命令。

          R1(config)#crypto ?

          dynamic-map Specify a dynamic crypto map template

          //創建或修改一個動態加密映射表

          ipsec Configure IPSEC policy

          //創建IPSec安全策略

          isakmp Configure ISAKMP policy

          //創建IKE策略

          key Long term key operations

          //為路由器的SSH加密會話產生加密密鑰。后面接數值,是key modulus size,單位為bit

          map Enter a crypto map

          //創建或修改一個普通加密映射表

          Router(config)#crypto dynamic-map ?

          WORD Dynamic crypto map template tag

          //WORD為動態加密映射表名

          Router(config)#crypto ipsec ?

          security-association Security association parameters

          // ipsec安全關聯存活期,也可不配置,在map里指定即可

          transform-set Define transform and settings

          //定義一個ipsec變換集合(安全協議和算法的一個可行組合)

          Router(config)#crypto isakmp ?

          client Set client configuration policy

          //建立地址池

          enable Enable ISAKMP

          //啟動IKE策略,默認是啟動的

          key Set pre-shared key for remote peer

          //設置密鑰

          policy Set policy for an ISAKMP protection suite

          //設置IKE策略的優先級

          Router(config)#crypto key ?

          generate Generate new keys

          //生成新的密鑰

          zeroize Remove keys

          //移除密鑰

          Router(config)#crypto map ?

          WORD Crypto map tag

          //WORD為map表名

          二、一些重要命令。

          Router(config)#crypto isakmp policy ?

          <1-10000> Priority of protection suite

          //設置IKE策略,policy后面跟1-10000的數字,這些數字代表策略的優先級。

          Router(config)#crypto isakmp policy 100//進入IKE策略配置模式,以便做下面的配置

          Router(config-isakmp)#encryption ?//設置采用的加密方式,有以下三種

          3des Three key triple DES

          aes AES - Advanced Encryption Standard

          des DES - Data Encryption Standard (56 bit keys).

          Router(config-isakmp)#hash ? //采用的散列算法,MD5為160位,sha為128位。

          md5 Message Digest 5

          sha Secure Hash Standard

          Router(config-isakmp)#authentication pre-share//采用預共享密鑰的認證方式

          Router(config-isakmp)#group ?//指定密鑰的位數,越往下安全性越高,但加密速度越慢

          1 Diffie-Hellman group 1

          2 Diffie-Hellman group 2

          5 Diffie-Hellman group 5

          Router(config-isakmp)#lifetime ? //指定安全關聯生存期,為60-86400秒

          <60-86400> lifetime in seconds

          Router(config)#crypto isakmp key *** address XXX.XXX.XXX.XXX

          //設置IKE交換的密鑰,***表示密鑰組成,XXX.XXX.XXX.XXX表示對方的IP地址

          Router(config)#crypto ipsec transform-set zx ?

          //設置IPsec交換集,設置加密方式和認證方式,zx是交換集名稱,可以自己設置,兩端的名字也可不一樣,但其他參數要一致。

          ah-md5-hmac AH-HMAC-MD5 transform

          ah-sha-hmac AH-HMAC-SHA transform

          esp-3des ESP transform using 3DES(EDE) cipher (168 bits)

          esp-aes ESP transform using AES cipher

          esp-des ESP transform using DES cipher (56 bits)

          esp-md5-hmac ESP transform using HMAC-MD5 auth

          esp-sha-hmac ESP transform using HMAC-SHA auth

          例:Router(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac

          Router(config)#crypto map map_zx 100 ipsec-isakmp

          //建立加密映射表,zx為表名,可以自己定義,100為優先級(可選范圍1-65535),如果有多個表,數字越小的越優先工作。

          Router(config-crypto-map)#match address ?//用ACL來定義加密的通信

          <100-199> IP access-list number

          WORD Access-list name

          Router(config-crypto-map)#set ?

          peer Allowed Encryption/Decryption peer.//標識對方路由器IP地址

          pfs Specify pfs settings//指定上面定義的密鑰長度,即group

          security-association Security association parameters//指定安全關聯的生存期

          transform-set Specify list of transform sets in priority order

          //指定加密圖使用的IPSEC交換集

          router(config-if)# crypto map zx

          //進入路由器的指定接口,應用加密圖到接口,zx為加密圖名。

          三、一個配置實驗。

          實驗拓撲圖:

          1.R1上的配置。

          Router>enable

          Router#config terminal

          Enter configuration commands, one per line. End with CNTL/Z.

          Router(config)#hostname R1

          //配置IKE策略

          R1(config)#crypto isakmp enable

          R1(config)#crypto isakmp policy 100

          R1(config-isakmp)#encryption des

          R1(config-isakmp)#hash md5

          R1(config-isakmp)#authentication pre-share

          R1(config-isakmp)#group 1

          R1(config-isakmp)#lifetime 86400

          R1(config-isakmp)#exit

          //配置IKE密鑰

          R1(config)#crypto isakmp key 123456 address 10.1.1.2

          //創建IPSec交換集

          R1(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac

          //創建映射加密圖

          R1(config)#crypto map zx_map 100 ipsec-isakmp

          R1(config-crypto-map)#match address 111

          R1(config-crypto-map)#set peer 10.1.1.2

          R1(config-crypto-map)#set transform-set zx

          R1(config-crypto-map)#set security-association lifetime seconds 86400

          R1(config-crypto-map)#set pfs group1

          R1(config-crypto-map)#exit

          //配置ACL

          R1(config)#access-list 111 permit ip 192.168.1.10 0.0.0.255 192.168.2.10 0.0.0.255

          //應用加密圖到接口

          R1(config)#interface s1/0

          R1(config-if)#crypto map zx_map

          2.R2上的配置。

          與R1的配置基本相同,只需要更改下面幾條命令:

          R1(config)#crypto isakmp key 123456 address 10.1.1.1

          R1(config-crypto-map)#set peer 10.1.1.1

          R1(config)#access-list 111 permit ip 192.168.2.10 0.0.0.255 192.168.1.10 0.0.0.255

          3.實驗調試。

          在R1和R2上分別使用下面的命令,查看配置信息。

          R1#show crypto ipsec ?

          sa IPSEC SA table

          transform-set Crypto transform sets

          R1#show crypto isakmp ?

          policy Show ISAKMP protection suite policy

          sa Show ISAKMP Security Associations

          四、相關知識點。

          對稱加密或私有密鑰加密:加密解密使用相同的私鑰

          DES--數據加密標準 data encryption standard

          3DES--3倍數據加密標準 triple data encryption standard

          AES--高級加密標準 advanced encryption standard

          一些技術提供驗證:

          MAC--消息驗證碼 message authentication code

          HMAC--散列消息驗證碼 hash-based message authentication code

          MD5和SHA是提供驗證的散列函數

          對稱加密被用于大容量數據,因為非對稱加密站用大量cpu資源

          非對稱或公共密鑰加密:

          RSA rivest-shamir-adelman

          用公鑰加密,私鑰解密。公鑰是公開的,但只有私鑰的擁有者才能解密

          兩個散列常用算法:

          HMAC-MD5 使用128位的共享私有密鑰

          HMAC-SHA-I 使用160位的私有密鑰

          ESP協議:用來提供機密性,數據源驗證,無連接完整性和反重放服務,并且通過防止流量分析來限制流量的機密性,這些服務以來于SA建立和實現時的選擇。

          加密是有DES或3DES算法完成?蛇x的驗證和數據完整性由HMAC,keyed SHA-I或MD5提供

          IKE--internet密鑰交換:他提供IPSEC對等體驗證,協商IPSEC密鑰和協商IPSEC安全關聯

          實現IKE的組件

          1:des,3des 用來加密的方式

          2:Diffie-Hellman 基于公共密鑰的加密協議允許對方在不安全的信道上建立公共密鑰,在IKE中被用來建立會話密鑰。group 1表示768位,group 2表示1024位

          3:MD5,SHA--驗證數據包的散列算法。RAS簽名--基于公鑰加密系統

        【思科IPSec基本命令】相關文章:

        思科交換機基本配置命令大全06-10

        關于思科路由器的基本配置命令大全03-06

        思科配置命令詳細介紹01-23

        思科認證基礎:Switching命令大全03-05

        2016最新思科常用學習命令03-04

        思科最實用的技術命令大全03-11

        思科交換機常用的100個命令03-11

        思科與H3C配置命令對比03-03

        linux常用基本命令(文件處理命令)11-29

        国产高潮无套免费视频_久久九九兔免费精品6_99精品热6080YY久久_国产91久久久久久无码

        1. <tt id="5hhch"><source id="5hhch"></source></tt>
          1. <xmp id="5hhch"></xmp>

        2. <xmp id="5hhch"><rt id="5hhch"></rt></xmp>

          <rp id="5hhch"></rp>
              <dfn id="5hhch"></dfn>