2022年Cisco路由器IPsec配置 .pdf

以下为路由器A 的配置，路由器B 只需对相应配置作更改即可1：配置 IKErouter(config)# crypto isakmp enable #启用 IKE( 默认是启动的 ) router(config)# crypto isakmp policy 100 #建立 IKE 策略 ,优先级为 100 router(config-isakmp)# authentication pre-share #使用预共享的密码进行身份验证router(config-isakmp)# encryption des #使用 des 加密方式router(config-isakmp)# group 1 #指定密钥位数，group 2 安全性更高，但更耗cpu router(config-isakmp)# hash md5 #指定 hash算法为 MD5( 其他方式： sha，rsa) router(config-isakmp)# lifetime 86400 #指定 SA 有效期时间。默认86400 秒，两端要一致以上配置可通过show crypto isakmp policy 显示。 VPN 两端路由器的上述配置要完全一样。2：配置 Keysrouter(config)# crypto isakmp key cisco1122 address 10.0.0.2 -(设置要使用的预共享密钥和指定vpn 另一端路由器的IP 地址 ) 3：配置 IPSECrouter(config)# crypto ipsec transform-set abc esp-des esp-md5-hmac 配置 IPSec交换集abc这个名字可以随便取，两端的名字也可不一样，但其他参数要一致。router(config)# crypto ipsec security-association lifetime 86400 ipsec 安全关联存活期，也可不配置，在下面的map 里指定即可router(config)# access-list 110 permit tcp 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255 router(config)# access-list 110 permit tcp 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255 4.配置 IPSEC 加密映射router(config)# crypto map mymap 100 ipsec-isakmp 创建加密图router(config-crypto-map)# match address 110 用 ACL 来定义加密的通信router(config-crypto-map)# set peer 10.0.0.2 标识对方路由器IP 地址router(config-crypto-map)# set transform-set abc 指定加密图使用的IPSEC 交换集router(config-crypto-map)# set security-association lifetime 86400 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 3 页 - - - - - - - - - router(config-crypto-map)# set pfs group 1 5.应用加密图到接口router(config)# interface ethernet0/1 router(config-if)# crypto map mymap 相关知识点：对称加密或私有密钥加密：加密解密使用相同的私钥DES-数据加密标准data encryption standard 3DES-3 倍数据加密标准triple data encryption standard AES-高级加密标准advanced encryption standard 一些技术提供验证：MAC- 消息验证码 message authentication code HMAC- 散列消息验证码 hash-based message authentication code MD5 和 SHA 是提供验证的散列函数对称加密被用于大容量数据，因为非对称加密站用大量cpu 资源非对称或公共密钥加密：RSA rivest-shamir-adelman 用公钥加密，私钥解密。公钥是公开的，但只有私钥的拥有者才能解密两个散列常用算法：HMAC-MD5 使用 128 位的共享私有密钥HMAC-SHA-I 使用 160 位的私有密钥ESP协议：用来提供机密性，数据源验证，无连接完整性和反重放服务，并且通过防止流量分析来限制流量的机密性，这些服务以来于SA 建立和实现时的选择。加密是有 DES 或 3DES 算法完成。可选的验证和数据完整性由HMAC ，keyed SHA-I 或 MD5 提供名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 3 页 - - - - - - - - - IKE-internet 密钥交换：他提供IPSEC 对等体验证，协商IPSEC 密钥和协商IPSEC 安全关联实现 IKE 的组件1：des，3des 用来加密的方式2：Diffie-Hellman 基于公共密钥的加密协议允许对方在不安全的信道上建立公共密钥，在IKE 中被用来建立会话密钥。 group 1 表示 768 位， group 2 表示 1024 位3：MD5，SHA- 验证数据包的散列算法。RAS 签名 -基于公钥加密系统名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 3 页 - - - - - - - - -