- 相關(guān)推薦
思科IPSec基本命令匯總
“Internet 協(xié)議安全性 (IPSec)”是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu),通過使用加密的安全服務(wù)以確保在 Internet 協(xié)議 (IP) 網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊。那么思科怎么配置IPSec呢?配置命令如何?下面跟yjbys小編一起來看看吧!
一、IPSec一些基本命令。
R1(config)#crypto ?
dynamic-map Specify a dynamic crypto map template
//創(chuàng)建或修改一個(gè)動(dòng)態(tài)加密映射表
ipsec Configure IPSEC policy
//創(chuàng)建IPSec安全策略
isakmp Configure ISAKMP policy
//創(chuàng)建IKE策略
key Long term key operations
//為路由器的SSH加密會(huì)話產(chǎn)生加密密鑰。后面接數(shù)值,是key modulus size,單位為bit
map Enter a crypto map
//創(chuàng)建或修改一個(gè)普通加密映射表
Router(config)#crypto dynamic-map ?
WORD Dynamic crypto map template tag
//WORD為動(dòng)態(tài)加密映射表名
Router(config)#crypto ipsec ?
security-association Security association parameters
// ipsec安全關(guān)聯(lián)存活期,也可不配置,在map里指定即可
transform-set Define transform and settings
//定義一個(gè)ipsec變換集合(安全協(xié)議和算法的一個(gè)可行組合)
Router(config)#crypto isakmp ?
client Set client configuration policy
//建立地址池
enable Enable ISAKMP
//啟動(dòng)IKE策略,默認(rèn)是啟動(dòng)的
key Set pre-shared key for remote peer
//設(shè)置密鑰
policy Set policy for an ISAKMP protection suite
//設(shè)置IKE策略的優(yōu)先級(jí)
Router(config)#crypto key ?
generate Generate new keys
//生成新的密鑰
zeroize Remove keys
//移除密鑰
Router(config)#crypto map ?
WORD Crypto map tag
//WORD為map表名
二、一些重要命令。
Router(config)#crypto isakmp policy ?
<1-10000> Priority of protection suite
//設(shè)置IKE策略,policy后面跟1-10000的數(shù)字,這些數(shù)字代表策略的優(yōu)先級(jí)。
Router(config)#crypto isakmp policy 100//進(jìn)入IKE策略配置模式,以便做下面的配置
Router(config-isakmp)#encryption ?//設(shè)置采用的加密方式,有以下三種
3des Three key triple DES
aes AES - Advanced Encryption Standard
des DES - Data Encryption Standard (56 bit keys).
Router(config-isakmp)#hash ? //采用的散列算法,MD5為160位,sha為128位。
md5 Message Digest 5
sha Secure Hash Standard
Router(config-isakmp)#authentication pre-share//采用預(yù)共享密鑰的認(rèn)證方式
Router(config-isakmp)#group ?//指定密鑰的位數(shù),越往下安全性越高,但加密速度越慢
1 Diffie-Hellman group 1
2 Diffie-Hellman group 2
5 Diffie-Hellman group 5
Router(config-isakmp)#lifetime ? //指定安全關(guān)聯(lián)生存期,為60-86400秒
<60-86400> lifetime in seconds
Router(config)#crypto isakmp key *** address XXX.XXX.XXX.XXX
//設(shè)置IKE交換的密鑰,***表示密鑰組成,XXX.XXX.XXX.XXX表示對(duì)方的IP地址
Router(config)#crypto ipsec transform-set zx ?
//設(shè)置IPsec交換集,設(shè)置加密方式和認(rèn)證方式,zx是交換集名稱,可以自己設(shè)置,兩端的名字也可不一樣,但其他參數(shù)要一致。
ah-md5-hmac AH-HMAC-MD5 transform
ah-sha-hmac AH-HMAC-SHA transform
esp-3des ESP transform using 3DES(EDE) cipher (168 bits)
esp-aes ESP transform using AES cipher
esp-des ESP transform using DES cipher (56 bits)
esp-md5-hmac ESP transform using HMAC-MD5 auth
esp-sha-hmac ESP transform using HMAC-SHA auth
例:Router(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac
Router(config)#crypto map map_zx 100 ipsec-isakmp
//建立加密映射表,zx為表名,可以自己定義,100為優(yōu)先級(jí)(可選范圍1-65535),如果有多個(gè)表,數(shù)字越小的越優(yōu)先工作。
Router(config-crypto-map)#match address ?//用ACL來定義加密的通信
<100-199> IP access-list number
WORD Access-list name
Router(config-crypto-map)#set ?
peer Allowed Encryption/Decryption peer.//標(biāo)識(shí)對(duì)方路由器IP地址
pfs Specify pfs settings//指定上面定義的密鑰長(zhǎng)度,即group
security-association Security association parameters//指定安全關(guān)聯(lián)的生存期
transform-set Specify list of transform sets in priority order
//指定加密圖使用的IPSEC交換集
router(config-if)# crypto map zx
//進(jìn)入路由器的指定接口,應(yīng)用加密圖到接口,zx為加密圖名。
三、一個(gè)配置實(shí)驗(yàn)。
實(shí)驗(yàn)拓?fù)鋱D:
1.R1上的配置。
Router>enable
Router#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname R1
//配置IKE策略
R1(config)#crypto isakmp enable
R1(config)#crypto isakmp policy 100
R1(config-isakmp)#encryption des
R1(config-isakmp)#hash md5
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 1
R1(config-isakmp)#lifetime 86400
R1(config-isakmp)#exit
//配置IKE密鑰
R1(config)#crypto isakmp key 123456 address 10.1.1.2
//創(chuàng)建IPSec交換集
R1(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac
//創(chuàng)建映射加密圖
R1(config)#crypto map zx_map 100 ipsec-isakmp
R1(config-crypto-map)#match address 111
R1(config-crypto-map)#set peer 10.1.1.2
R1(config-crypto-map)#set transform-set zx
R1(config-crypto-map)#set security-association lifetime seconds 86400
R1(config-crypto-map)#set pfs group1
R1(config-crypto-map)#exit
//配置ACL
R1(config)#access-list 111 permit ip 192.168.1.10 0.0.0.255 192.168.2.10 0.0.0.255
//應(yīng)用加密圖到接口
R1(config)#interface s1/0
R1(config-if)#crypto map zx_map
2.R2上的配置。
與R1的配置基本相同,只需要更改下面幾條命令:
R1(config)#crypto isakmp key 123456 address 10.1.1.1
R1(config-crypto-map)#set peer 10.1.1.1
R1(config)#access-list 111 permit ip 192.168.2.10 0.0.0.255 192.168.1.10 0.0.0.255
3.實(shí)驗(yàn)調(diào)試。
在R1和R2上分別使用下面的命令,查看配置信息。
R1#show crypto ipsec ?
sa IPSEC SA table
transform-set Crypto transform sets
R1#show crypto isakmp ?
policy Show ISAKMP protection suite policy
sa Show ISAKMP Security Associations
四、相關(guān)知識(shí)點(diǎn)。
對(duì)稱加密或私有密鑰加密:加密解密使用相同的私鑰
DES--數(shù)據(jù)加密標(biāo)準(zhǔn) data encryption standard
3DES--3倍數(shù)據(jù)加密標(biāo)準(zhǔn) triple data encryption standard
AES--高級(jí)加密標(biāo)準(zhǔn) advanced encryption standard
一些技術(shù)提供驗(yàn)證:
MAC--消息驗(yàn)證碼 message authentication code
HMAC--散列消息驗(yàn)證碼 hash-based message authentication code
MD5和SHA是提供驗(yàn)證的散列函數(shù)
對(duì)稱加密被用于大容量數(shù)據(jù),因?yàn)榉菍?duì)稱加密站用大量cpu資源
非對(duì)稱或公共密鑰加密:
RSA rivest-shamir-adelman
用公鑰加密,私鑰解密。公鑰是公開的,但只有私鑰的擁有者才能解密
兩個(gè)散列常用算法:
HMAC-MD5 使用128位的共享私有密鑰
HMAC-SHA-I 使用160位的私有密鑰
ESP協(xié)議:用來提供機(jī)密性,數(shù)據(jù)源驗(yàn)證,無連接完整性和反重放服務(wù),并且通過防止流量分析來限制流量的機(jī)密性,這些服務(wù)以來于SA建立和實(shí)現(xiàn)時(shí)的選擇。
加密是有DES或3DES算法完成。可選的驗(yàn)證和數(shù)據(jù)完整性由HMAC,keyed SHA-I或MD5提供
IKE--internet密鑰交換:他提供IPSEC對(duì)等體驗(yàn)證,協(xié)商IPSEC密鑰和協(xié)商IPSEC安全關(guān)聯(lián)
實(shí)現(xiàn)IKE的組件
1:des,3des 用來加密的方式
2:Diffie-Hellman 基于公共密鑰的加密協(xié)議允許對(duì)方在不安全的信道上建立公共密鑰,在IKE中被用來建立會(huì)話密鑰。group 1表示768位,group 2表示1024位
3:MD5,SHA--驗(yàn)證數(shù)據(jù)包的散列算法。RAS簽名--基于公鑰加密系統(tǒng)
【思科IPSec基本命令】相關(guān)文章:
思科交換機(jī)基本配置命令大全06-10
思科配置命令詳細(xì)介紹01-23
思科認(rèn)證基礎(chǔ):Switching命令大全03-05
思科與H3C配置命令對(duì)比03-03
linux常用基本命令(文件處理命令)11-29