取消
显示结果 
搜索替代 
您的意思是: 
cancel
公告

December 2020

December 2020

【跟我一起读】Cisco IPSec VPN实战指南

35696
查看次数
2194
有帮助
104
评论
本帖最后由 nmyp007 于 2018-7-7 09:23 编辑
【管理员说-奖励设置】
参与奖:活动期间跟帖回复主题相关内容即可获得20积分
优质参与奖:每周优质回复内容可额外获得奖励50积分/条
幸运奖:每周从优质参与奖获奖用户中随机抽取2人赠送50元代金卡(京东卡或亚马逊卡二选一)
领读者福利: 100元京东卡+500积分奖励(你也想成为领读者,为大家分享好书?立即私信联系管理员


推荐理由

本书为cisco IPsec vpn提供了最佳配置实践、排除故障流程,为暂不熟悉ipsec vpn的网络管理员提供参考指南。
093140qomno0vymbys0svb.jpg

内容简介
这是一本全面介绍Cisco IPSec VPN的图书,主要涉及在Cisco路由器和ASA硬件防火墙上的IPSec VPN技术。
《Cisco IPSec VPN实战指南》一共分为10章,分别介绍了VPN技术、GRE技术与配置、IPSec基本理论、站点到站点IPSec VPN、影响IPSec VPN的网络问题、IPSec VPN中的高可用性技术、动态多点VPN(DMVPN)、组加密传输VPN(GETVPN)、Easy VPN、ASA策略图等。本书附录还详细地介绍了Cisco模拟器的配置与使用。使用附录中介绍的模拟器可以实现本书中介绍的所有实例,因此本书的第一个特点就是实例的可操作性很强。本书的第二个特点就是采用了不同的讲述方式,作者不是生硬地介绍各种IPSec VPN特性,而是结合多年Cisco安全教学经验,首先展示各种IPSec VPN的故障现象,然后深入浅出、一步一步地分析导致这些故障的原因,最后给出相应的解决方案,让读者能够学习到整个排错和分析的过程与思路。本书的第三个特点就是大量作者原创的独门VPN解决方案,在一些特殊部署环境使用这些解决方案会得到意想不到的效果。

购书链接:
https://www.epubit.com/book/detail/4593

读书规划

第一周:6月11日-6月17日 1-3章:VPN技术简介、GRE、IPSec基本理论。
第二周:6月18日-6月24日 4-6章:站点到站点IPSec VPN、影响IPSec VPN的网络问题、IPSec VPN中的高可用性技术。
第三周:6月25日-7月1日 7-8章:动态多点VPN(DMVPN)、组加密传输VPN(GETVPN)。
第四周:7月2日-7月8日:9章-10章:Easy VPN、ASA策略图。

我的问题
1、IPSec对VPN流量提供哪三个方面的保护?
答案:私密性、完整性、源认证
2、加密算法的分类及各个算法的优缺点、主流协议?

答案:加密算法分为对称密钥算法、非对称密钥算法
对称密钥算法:
优点:速度快、安全、紧凑
缺点:明文传输共享密钥,容易出现中途劫持和窃听的问题
随着参与者数量的增加,密钥数量急剧膨胀((n x(n-1))/2)
因为密钥数量过过,对密钥的管理和存储是有个很大的问题
不支持数字签名和不可否认性

主流协议:DES、3DES、AES、RC4
非对称密钥算法
优点:安全
由于不必担心交换的公钥被劫持,所以非对称密钥的分发更安全
密钥数目和参与者数目相同
在交换公钥之前不需要预先建立某种信任关系
支持数字签名和不可否认性
缺点:加密速度很慢
密文会变长

主流协议:RSA、DH、ECC
3、IKE的2个阶段与3个模式是什么?

答案:IKE第一阶段:产生IKE SA
IKE第二阶段:产生IPSec SA
3个模式:主模式(MM)、主动模式(AM)、快速模式(QM)
4、IOS IPSec VPN配置步骤及命令?

答案:·激活ISAKMP
Site1(config)#crypto isakmp enable

·配置IKE第一阶段策略
Site1(config)#crypto isakmp policy 10
Site1(config-isakmp)#encr 3des
Site1(config-isakmp)#hash md5
Site1(config-isakmp)#authentication pre-share
Site1(config-isakmp)#group 2
Site1(config)#crypto isakmp key 0 L2Lkey address 61.128.1.1

·配置IKE第二阶段策略
1、配置感兴趣流
Site1(config)#ip access-list extended vpn
Site1(config-ext-nacl)#permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
2、配置IPSec策略(转换集)
Site1(config)#crypto ipsec transform-set Trans esp-des esp-md5-hmac
3、配置Crypto map
Site1(config)#crypto map cry-map 10 ipsec-isakmp
Site1(config-crypto-map)#match address vpn
Site1(config-crypto-map)#set transform-set Trans
Site1(config-crypto-map)#set peer 61.128.1.1
Site1(config-crypto-map)#set pfs group2
Site1(config-crypto-map)#set security-association lifetime seconds 1800

·将Crypto map应用到接口
Site1(config)#interface FastEthernet1/0
Site1(config-if)#ip address 202.100.1.1 255.255.255.0
Site1(config-if)#crypto map cry-map
5、查看IPSec VPN的相关状态的命令?

答案:·查看ISAKMP SA的状态
Site1#show crypto isakmp sa

Site1#show crypto isakmp sa detail
·查看IPSec SA的状态
Site1#show crypto ipsec sa
6、ASA防火墙3个基本工作原理?
答案:原理1:从高安全级别(inside)到低安全级别(outside)的流量outbound流量,默认会被放行。
原理2:从低安全级别(outside)到高安全级别(inside)的流量inbound流量,默认是被拒绝的,但
是可以使用访问控制列表技术,根据需要放行inbound流量。

原理3:ASA防火墙默认只对穿越的TCP和UDP流量维护状态信息(即记录这个会话的源目IP、源目端口等信息),当这些TCP和UDP流量返回时,防火墙会查询状态化信息,如果匹配上对应条目后会放行。也就是说,即使这是一个Inbound流量,只要它是以前某一连接的返回数据包,它也能穿越ASA防火墙。
7、DMVPN相比于传统的IPSec VPN技术有哪些优点?
答案:1)、简单的星形拓扑配置,提供了虚拟网状连通性.
2)、分支站点支持动态IP地址.
3)、增加新的分支站点,无需更改中心站点配置.
4)、分支站点间流量,通过动态产生的站点间隧道进行封装.
8、DMVPN的4大组成协议?
答案:1)、动态多点GRE(Multipoint GRE,mGRE)协议.
2)、下一跳解析协议(Next Hop Resolution Protocol,NHRP).
3)、动态路由协议.
4)、IPSec 技术.
9、配置DMVPN的三大步骤?
答案:1)、配置mGRE和NHRP.
2)、配置动态路由协议.
3)、配置IPSec VPN
10、GETVPN的特点?
答案:1)、基于原生路由架构的透传解决方案
2)、IP Header Preservation技术,实现原始IP头部保留
3)、不影响Qos,不增加网络开销和复杂度
4)、基于trusted group members的概念,在group内的router使用相同的安全策略,比
点对点VPN管理更简单
5)、Group内成员预先协商安全参数(IPSec SA),实现任意到任意(any-to-any)连接
6)、即时连接,减少类似于语言流量的延时
7)、支持对单播和组播的加密
8)、是一个WAN解决方案,需要部署在全局可录音的网络环境,不适合在IPv4的互联网部署。

11、EZVpn的特性?

答案:1)、分割隧道;
2)、保存密码;
3)、备用网关;
4)、分割DNS特性;
5)、PFS特性。
12、DVTI的特点?

答案:1)、替代传统的Dynamic map配置;
2)、支持加密单播和组播;
3)、支持QoS、FW、NetFlow、ACL、NAT和VRF技术(注意不支持在DVTI接口上的动态路由协议);
4)、支持RADIUS服务器推送基于用户和组的策略;
5)、克隆虚拟模板(virtual template)配置,动态创建虚拟访问接口(virtual access interfaces)。

我的心得及分享
(每周伊始,更新心得体会哦,和我一起读书的小伙伴,欢迎在回复中交流)
第一周
该书1-3章主要讲了vpn的产生背景、连接方式、GRE的相关介绍和IPSec的基本原理、框架以及IKE协议的知识,重点在第2、3章IPSec的框架下的散列函数、加密算法、封装协议、密钥有效期,IKE的2个阶段与3个模式,什么情况用传输模式、什么情况用隧道模式。

第二周
4-6章主要讲了站点到站点IPSec VPN、影响IPSec VPN的网络问题、IPSec VPN中的高可用性技术,这三章是这边书的重点及精华所在,实践拓扑介绍、经典的配置方式、VPN的路由分析、GRE隧道及流量保护、动态地址、高可用性站点到站点IPSec VPN最佳方案等都有详细的介绍和分析。

第三周

7-8章主要讲了动态多点VPN(DMVPN)经典拓扑、实验,DMVPN的高可用性解决方案:单云双中心、双云双中心配置,及IPSec VPN企业内部部署时出现的问题:影响QoS、点对点IPSec SA造成的问题、覆盖路由及解决方法,GETVPN(组加密传输VPN)感兴趣流访问控制列表配置等。
第四周
Easy VPN的经典配置及常见问题故障排除、ASA的策略图的详细介绍及使用。

【管理员说-注意事项】
1. 禁止发表不当言论,不涉及政治、国家、党派等信息,禁止刷帖灌水行为,审核发现后将不能获得活动积分,对于在论坛中多次出现此行为者,将采取至少禁言一周的处罚。
2. 积分奖励在管理员审核通过后即刻发放,优质回复奖在活动结束发布获奖公告后进行发放。
3. 思科服务支持社区对本次活动有最终解释权。


评论
rongyq
Beginner
:):):):):):)
wuleihen
Advocate
1、IPSec对VPN流量提供哪三个方面的保护?
私密性,完整性,源认证
2、加密算法的分类及各个算法的优缺点、主流协议?
常见加密算法分类
对称加密算法:DES、3DES、DESX、Blowfish、IDEA、RC4、RC5、RC6和AES
非对称加密算法:RSA、ECC(移动设备用)、Diffie-Hellman、El Gamal、DSA(数字签名用)
Hash算法:MD2、MD4、MD5、HAVAL、SHA、SHA-1、HMAC、HMAC-MD5、HMAC-SHA1
对称密钥算法的优点:速度快、安全,缺点:明文传输共享密钥
非对称加密算法:安全,私钥只能由一方保管,不能外泄。缺点:加密速度较慢
3、IKE的2个阶段与3个模式是什么?
IKE第一阶段主模式由6个ISAKMP数据包来完成:
第1-2个数据包主要完成两个任务:
(1) 核对收到的ISAKMP数据包的源IP地址,来确认收到的ISAKMP数据包是否来自于合法的对等体。
(2) 协商IKE策略(加密策略,散列函数,DH组,认证方式,密钥存活时间)
注:ISAKMP数据包使用UDP传输,源和目的端口都是500.

第3-4个数据包的任务:
DH交换,产生用于加密感兴趣流的密钥资源。
第5-6个数据包的任务:
在安全的环境下进行认证,并建立ISAKMP/IKE双向安全关联SA。这个SA维护了处理ISAKMP/IKE流量的相关策略,对等体双方会继续使用这个SA,来安全保护后续的IKE快速模式1-3包交换。


IKE第二阶段快速模式由3个数据包来完成:
第1个数据包的任务:它把感兴趣流相关的IPSEC策略一起发送给接收方,并有接收方来选择适当的策略。
第2个数据包的任务:接收方产生SPI,并发送个发起方,建立单向IPSEC SA。
第3个数据包的任务:发起方产生另一个SPI,并发送给接收方,建立单向IPSEC SA。
moxiuli
Engager
IKE的2个阶段与3个模式是什么
答:SAKMP/IKE第一阶段称为ISAKMP/IKE的管理连接阶段.使用双向的UDP端口为500的数据连接,来共享IPSEC消息。有主模式和积极模式2种。
主模式执行3步,6个数据包的双向交换.过程如下:
1.对等体间协商如何来保护管理连接.(使用加密变换集来保护)
2.对等体间使用DH算法来共享密钥以及保护连接.
3.对等体间进行彼此的验证.
积极模式执行的过程:
1.交换保护管理连接的策略,DH算法建立公钥/密钥对并在对等体间进行认证.
2.对收到的数据包做验证,DH算法来共享加密的密钥,并查看连接是否成功建立.
PS:除了预共享密钥认证外.其他的认证方式默认为主模式.
第二阶段协商IPSEC 单向SA,为保护IPS数据流而创建。有快速模式1种。
快速模式协商IPSEC SA使用的安全参数,创建IPSEC SA,使用AH或ESP来加密IP数据流。
nyy123
Community Member
1、IPSec对VPN流量提供哪三个方面的保护?
私密性,对数据进行加密
完整性, 确保数据在传输过程中没有被串改
源认证,对发送数据包的源进行认证。
2、加密算法的分类及各个算法的优缺点、主流协议?
2大类 对称加密和非对称加密
对称的优点 速度快,安全,缺点密钥数量多,不支持数字签名和不可否认性
非对称的优点 安全,完整性校验,源认证 缺点 加密慢,密文变长
对称主流协议 des,3des,aes,rc4
非对称主流协议 RSA,DH,ECC
3、IKE的2个阶段与3个模式是什么?
第一阶段 产生ike sa
2个模式 主模式mm(main mode)6个包交换和主动模式am(aggressive mode)3个包交换。
第二阶段 产生 ipsec sa
快速模式 qm(quick mode)
Ike第二阶段 产生 ipsec sa 3个包的交换。
Xingxing Zhang
Collaborator
本帖最后由 zhang00xing00 于 2018-6-24 12:18 编辑
先回答问题。
1、IPSec对VPN流量提供哪三个方面的保护?
私密性(Confidentiality):对原始数据加密
完整性(Integrity):确保数据在传输过程不被篡改
源认证(Authenticity):确保数据包发送源是合法的

2、加密算法的分类及各个算法的优缺点、主流协议?
对称密钥算法,加密和解密使用相同的密钥和算法,DES/3DES/AES/RC4
优点:速度快、安全、紧凑
缺点:明文传输密钥、密钥数量过多不便管理存储、不支持数字签名和不可否认性
非对称密钥算法,一个密钥加密只能用另一个密钥解密,仅用于密钥交换(加密密钥)和数字签名(加密散列),RSA/DH/ECC
优点:安全、密钥数量跟参与者相同、交换公钥前不需要预告建立信任关系、支持数字签名和不可否认性
缺点:加密速度很慢、密文会变长


3、IKE的2个阶段与3个模式是什么?

第一阶段使用6个包交换主模式或者3个包交换的主动动模式完成,
对建立IPSec的双方进行认证,确保只在合法对等体建立IPSec VPN,协商结果就是IKESA
第二阶段使用3个包交换的快速模式完成,协商感兴趣流的保护策略,协商结果就是IPSec SA


IPSec VPN 1-3章笔记。

VPN 2种连接方式:
1.站点到站点(Site to Site):GRE、 IPSec VPN、 MPLS VPN
2.远程访问(Remote):IPSec VPN 、VPDN 、SSL VPN

IPSecVPN 3个安全特性:
私密性(Confidentiality):对数据加密
完整性(Integrity):确保数据在传输过程不被篡改
源认证(Authenticity):确保数据包发送源是合法的

HASH函数也叫散列函数,校验数据完整性,4个特点:
1.固定大小:任意大小原始数据都输出固定大小散列值,MD5:128bit,SHA-1:160 bit
2.雪崩效应:原始数据修改1bit都会导致计算的散列值完全不一样
3.单向:只能从原始数据计算得到散列值,不可能从散列值恢复1bit原始数据
4.冲突避免:几乎找不到另外一个数据计算出相同的散列值

HMAC (Keyed-hash Message Authentication Code,密钥化散列信息认证代码),校验数据完整性和数据源认证。

加密算法
对称密钥算法,加密和解密使用相同的密钥和算法,DES/3DES/AES/RC4
优点:速度快、安全、紧凑
缺点:明文传输密钥、密钥数量过多不便管理存储、不支持数字签名和不可否认性

非对称密钥算法,一个密钥加密只能用另一个密钥解密,仅用于密钥交换(加密密钥)和数字签名(加密散列),RSA/DH/ECC
优点:安全、密钥数量跟参与者相同、交换公钥前不需要预告建立信任关系、支持数字签名和不可否认性
缺点:加密速度很慢、密文会变长

IPSec VPN 封装协议
ESP(Encapsulation Security Payload),IP协议号50
AH(Authentication Header),IP协议号51

IPSec VPN 封装模式
传输模式(Transport mode),加密点等于通信点
隧道模式(Tunnel mode),加密点不等于通信点

密钥有效期,IPSec VPN默认每一小时更新一次。

IKE(Internet Key Exchange,互联网密钥交换协议),协商散列函数、加密算法、封装协议、封装模式、密钥有效期。
协商结果叫做安全关联SA,分为2种类型:
IKE SA安全防护IKE细节
IPSec SA 安全防护用户流量(感兴趣流)

IKE 是一个混合协议,由3大组成协议:
SKEME 决定了IKE密钥交换方式,主要使用DH交换密钥
Oakley 决定了IPSec框架设计,支持更多协议
ISAKMP决定了IKE协商包封装格式、交换过程和模式切换

IKE2个阶段与3个模式:
第一阶段使用6个包交换主模式或者3个包交换的主动动模式完成,
对建立IPSec的双方进行认证,确保只在合法对等体建立IPSec VPN,协商结果就是IKESA

第二阶段使用3个包交换的快速模式完成,协商感兴趣流的保护策略,协商结果就是IPSec SA
shuangbao wang
Rising star
IPSec对VPN流量提供哪三个方面的保护?
1.通过加密保证数据的私密性
2.对数据进行hash运算来保证完整性
3.通过身份认证保证数据的真实性
shuangbao wang
Rising star
2、加密算法的分类及各个算法的优缺点、主流协议?
根据密钥类型不同将现代密码技术分为两类:对称加密算法(秘密钥匙加密)和非对称加密算法(公开密钥加密)。
对称钥匙加密系统是加密和解密均采用同一把秘密钥匙,而且通信双方都必须获得这把钥匙,并保持钥匙的秘密。
非对称密钥加密系统采用的加密钥匙(公钥)和解密钥匙(私钥)是不同的。
对称加密算法
对称加密算法用来对敏感数据等信息进行加密,常用的算法包括:
DES(Data Encryption Standard):数据加密标准,速度较快,适用于加密大量数据的场合。
3DES(Triple DES):是基于DES,对一块数据用三个不同的密钥进行三次加密,强度更高。
AES(Advanced Encryption Standard):高级加密标准,是下一代的加密算法标准,速度快,安全级别高;
AES
2000年10月,NIST(美国国家标准和技术协会)宣布通过从15种侯选算法中选出的一项新的密匙加密标准。Rijndael被选中成为将来的AES。 Rijndael是在 1999 年下半年,由研究员 Joan Daemen 和 Vincent Rijmen 创建的。AES 正日益成为加密各种形式的电子数据的实际标准。
美国标准与技术研究院 (NIST) 于 2002 年 5 月 26 日制定了新的高级加密标准 (AES) 规范。
算法原理
AES 算法基于排列和置换运算。排列是对数据重新进行安排,置换是将一个数据单元替换为另一个。AES 使用几种不同的方法来执行排列和置换运算。
AES 是一个迭代的、对称密钥分组的密码,它可以使用128、192 和 256 位密钥,并且用 128 位(16字节)分组加密和解密数据。与公共密钥密码使用密钥对不同,对称密钥密码使用相同的密钥加密和解密数据。通过分组密码返回的加密数据的位数与输入数据相同。迭代加密使用一个循环结构,在该循环中重复置换和替换输入数据


非对称算法
常见的非对称加密算法如下:
RSA:由 RSA 公司发明,是一个支持变长密钥的公共密钥算法,需要加密的文件块的长度也是可变的;
DSA(Digital Signature Algorithm):数字签名算法,是一种标准的 DSS(数字签名标准);
ECC(Elliptic Curves Cryptography):椭圆曲线密码编码学。
shuangbao wang
Rising star
3、IKE的2个阶段与3个模式是什么?
IKE阶段1
该阶段用于协商IKE策略集、认证对等体并在对等体之间建立安全的信道。
它包括两种模式:主模式 和 积极模式
1、 主模式在发送端和接收端有3次双向交换
第一次:用于商定IKE通信安全的算法和散列;
第二次:使用DH交换 来产生共享密钥
第三次:验证对端身份,认证远端对等体。
主模式的主要结果是为对等体之间的后续交换建立一个安全通道。
2、 积极模式 较主模式而言,交换次数和信息较少。
在第一次交换中,就将主模式1.2.3次交换的信息压缩在一起发给对端,接收方返回所需内容,等待确认。
IKE阶段2
执行以下功能:
1、 协商IPSec安全性参数和IPSec转换集;
2、 建立IPSec的SA;
3、 定期重协商IPSec的SA,以确保安全性;
4、 可执行额外的DH交换。
IKE阶段2只有一种模式,快捷模式。
avicairbus
Advocate
Sorry, 这周太忙,明天一大早就来写点阅读心得:)
avicairbus
Advocate
two tasks for configuring GRE tunnel:
1. assign a ip address for a tunnel;
2. configure tunnel's source and destination IP address.
Notice: GRE VPN DO NOT encrypt the data that go through a tunnel.
avicairbus
Advocate
首先了解一下IPSEC VPN的理论知识:
IPSec VPN提供一个框架性的结构,但每一次 IPSec 会话所使用的具体算法,都是通过协商来决定的,不仅仅是散列函数、加密算法,封装协议和模式、密钥有效期等内容都可以通过协商决定。在两个 IPSec 对等体之间协商的协议叫做 IKE,IKE有两个阶段:第一阶段协商分别可以使用 6 个包交换的主模式MM或者 3 个包交换的主动模式AM来完成,第一阶段协商的主要目的就是对建立 IPSec 的双方进行认证,以确保只有合法的对等体(peer)才能够建立 IPSec VPN。协商得到的结果就是IKE SA。第二阶段总是使用 3 个包交换的快速模式QM来完成,第二阶段的主要目的就是根据需要加密的实际流量(感兴趣流),来协商保护这些流量的策略。协商的结果就是IPSec SA。第一阶段的主要任务就是相互认证。第一阶段完成,不仅表示收发双方认证通过,并且还会建立一个双向的 ISAKMP/IKE 安全关联(SA),这个 SA 维护了处理ISAKMP/IKE 流量的相关策略(注意:这些策略不会处理实际感兴趣流),而对等体双方还会继续使用这个 SA,来安全保护后续的 IKE 快速模式 1-3 包交换。第二阶段的主要任务就基于具体的感兴趣流来协商相应的 IPSec SA,IKE 快速模式交换的三个数据包都得到了安全保护(加密、完整性校验和源认证)。另外两个值得注意的内容就是 SPI 和 PFS。SPI 用于唯一标识一个单向的 IPSec SA,SPI 的值是由目的设备决定的。Cisco 的 IPSec VPN 在默认情况下没有启用 PFS 技术,设备管理员可以通过配臵来启用这项技术,让每一次密钥更新之前都进行一次全新的 DH 交换,产生全新的密钥。
avicairbus
Advocate
1、IPSec对VPN流量提供哪三个方面的保护?
IPSec VPN技术对 VPN 流量提供了如下 3 个方面的保护:
私密性(Confidentiality):数据私密性也就是对数据进行加密。这样一来,即使第三方能够捕获加密后的数据,也不能将其恢复成明文。
完整性(Integrity):完整性确保数据在传输过程中没有被第三方篡改。
源认证(Authenticity):源认证也就是对发送数据包的源进行认证,确保是合法的源发送了此数据包。
2、加密算法的分类及各个算法的优缺点、主流协议?
加密算法可以分为如下两大类:
1. 对称密钥算法;
优点:
 速度快;
 安全;
 紧凑。
缺点:
 明文传输共享密钥,容易出现中途劫持和窃听的问题;
 随着参与者数量n的增加,密钥数量急剧膨胀((n×(n-1))/2);
 因为密钥数量过多,对密钥的管理和存储是一个很大的问题;
 不支持数字签名和不可否认性。
对称密钥算法的主流协议:
a. DES;
b.3DES;
c. AES;
d.RC4。
2. 非对称密钥算法。
优点:
 安全;
 由于不必担心交换的公钥被劫持,所以非对称密钥的分发更安全;
 密钥数目和参与者数目相同;
 在交换公钥之前不需要预先建立某种信任关系;
 支持数字签名和不可否认性。
缺点:
 加密速度很慢;
 密文会变长。
非对称密钥算法的主流协议:
1.RSA(数字签名和数字证书的主流协议);
2.DH(IPSec 产生密钥资源的主要协议);
3.ECC(椭圆曲线算法)。
3、IKE的2个阶段与3个模式是什么?
在两个 IPSec 对等体之间协商的协议叫做 IKE,IKE有两个阶段:第一阶段协商分别可以使用 6 个包交换的主模式MM或者 3 个包交换的主动模式AM来完成,第一阶段协商的主要目的就是对建立 IPSec 的双方进行认证,以确保只有合法的对等体(peer)才能够建立 IPSec VPN。协商得到的结果就是IKE SA。第二阶段总是使用 3 个包交换的快速模式QM来完成,第二阶段的主要目的就是根据需要加密的实际流量(感兴趣流),来协商保护这些流量的策略。协商的结果就是IPSec SA。
3个模式是:
主动模式AM;
主模式MM;
快速模式QM。
其中AM、MM属于第一阶段;QM属于第二阶段。
sh666666
Advocate
这个小长假,一边看着足球,一边阅读着教主的大作,很是悠哉悠哉地。教主的大作也是极赞的,看了从异步下载的前三章,教主就是教主,把IpsecVPN的理论讲得如此通透,且显浅易懂!于是果断下定买本纸质的,同时又推荐前仨章的电子版给同事,同事也觉得写得很好,倾注了教主对IpsecVpn的理解!不错,这个小长假收获不少
moxiuli
Engager
4、IOS IPSec VPN配置步骤及命令?
步骤:
1、configure crypto ACL             配置感兴趣流,需要加密的流量就是感兴趣流。
2、establish ISAKMP policy          第一阶段的策略
3、configure IPsec transform set    第二阶段的策略
4、configure crypto map
5、apply crypto map to the interface   在接口下应用
6、configure interface ACL          确定在外网接口放行哪些流量
命令:(1)、定义感兴趣流:
ip access-list extended VPN
   permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
(2)、IKE第一阶段
crypto isakmp policy 10
   encryption des
   hash md5
   authentication pre-share
   group 2
crypto isakmp key cisco address 202.100.1.2     pre-share key 的定义
(3)、IKE第二阶段
crypto ipsec transform-set MYSET esp-des esp-md5-hmac
   mode tunnel
(4)、把感兴趣流与转换集映射一下
crypto map MYMAP 100 ipsec-isakmp
   set peer 202.100.1.2 设置VPN对等体的地址
   set tranform-set MYSET   设置转换集
   match address VPN     感兴趣流和转换集的绑定
  
(5)、MAP与接口绑定
int s0
   crypto map MYMAP
(6)、设定接口只允许跑VPN流量,在接口入设置
access-list 100 permit udp any eq 500 any eq isakmp
access-list 100 permit esp any any
access-list 100 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255   由于ACL会二次查找,所以还要放行私网的流量
show crypto isakmp policy
show crypto isakmp sa   第一阶段的SA
show crypto ipsec sa 第二阶段的SA
show crypto engine connections active
show crypto map
crypto ipsec security-association lifetime [seconds|kilobytes] 第二阶段的一个协商时间,也就是说多长时间后重新协商密匙。也可按已发了多少流量来进行协商。哪个数值先到就先起效。
cryto isakmp keepalive 10 3
IPsec通道的终结:
当流量超过上限后或者超时自动终结
clear crypto isakmp 清第一阶段
clear crypto sa 清第二阶段
clear crypto session   在新版的IOS中,用这条命令全清
debug crypto isakmp
debug crypto ipsec
moxiuli
Engager
5、查看IPSec VPN的相关状态的命令?
show crypto isakmp sa
show crypto ipsec sa
Content for Community-Ad


不能显示该小部件。