05IPsec安全技术.ppt

配置KEYS router(config)# crypto ipsec transform-set abc esp-des??esp-md5-hmac??　配置IPSec交换集? ?? ?? abc这个名字可以随便取，两端的名字也可不一样，但其他参数要一致。 消息摘要验证算法：ah-md5-hmac、 ah-sha-hmac、esp-md5-hmac、 esp-sha-hmac 加密算法：esp-des、esp-3des、esp-null。 router(config)# mode {tunnel | transport}：指定工作模式（可选）。router(config)# crypto ipsec security-association lifetime 86400??? ?? ?? ?? ?? ? ipsec安全关联存活期，也可不配置，在下面的map里指定即可router(config)# access-list 110 permit ip 55 55router(config)# access-list 110 permit ip 55 55 配置IPSEC加密映射 router(config)# crypto map mymap 100 ipsec-isakmp??创建加密图router(config-crypto-map)# match address 110? ?用ACL来定义加密的通信router(config-crypto-map)# set peer ? ?标识对方路由器IP地址router(config-crypto-map)# set transform-set abc??指定加密图使用的IPSEC交换集 应用加密图到接口 router(config)# interface ethernet0/1router(config-if)# crypto map mymap IPsec可以使用两种模式来传输IP数据包： ? 传输模式（Transport mode） ? 隧道模式（Tunnel Mode） 如图7.2?1所示，传输模式主要用于主机到主机之间的端到端连接，它使用原始IP包头中的地址进行寻址。 隧道模式主要用于两个安全网关（如路由器）之间的连接，它通过将新的IP包头添加到原始IP包头之前来实现IP-in-IP的封装。原始IP包头在隧道中传输的时候被保留，直到隧道终端删除附加包头时才使用。 在实际的实施中主机必须支持传输模式和隧道模式，安全网关只要求支持隧道模式，传输模式只会在网关被当作目标主机时需要支持，如网管通道安全加密的需要。 预共享密钥是指在IPsec对等体上预先设置好相同的密钥，对等体在进行认证时，发送方将预共享密钥和身份信息进行散列计算，然后将计算出的散列发送给接收方；接收方对收到的消息进行散列处理，如果能生成相同的散列，则发送方被验证， ZXR10 ZSR支持预共享密钥方法。 起源认证的过程是单向的，在另外一个方向上，也发生着同样的认证过程。 预共享密钥比较容易配置，但是扩展性很不好，仅使用于小型VPN网络。 承载网 DT团队 Ipsec安全技术 IPUA_810_C1 课程目标： 掌握IPsec基本概念、功能特点 了解IPsec协议体系结构 了解加密算法基本原理 了解Ipsec的配置 课程大纲 IPsec简介及功能特点 IPsec协议体系结构 Ipsec的配置 IPsec简介 IPsec（IP Security）协议不是一个单独的协议，是IETF制定的一系列协议的集合，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。 IPsec 协议族包括网络认证协议 Authentication Header (AH)、封装安全载荷协议Encapsulating Security Payload (ESP)、密钥管理协议Internet Key Exchange (IKE) 和用于网络认证及加密的一些算法等。 IPsec 在IP层上实现了加密、认证等多种安全技术 。 广泛应用于路由器以及安全网关。 IPsec 隧道是保证IP安全的一种基本技术，通过在对等实体之间配置相同的策略，从而建立一个安全的IP数据包传输的通道。 IPsec 功能特点 基于网络层的安全保护 — IPsec对终端站点间所有传输数据进行保护，而不管是哪类网络应用。它在事实上将远程客户端“置于”企业内部网，使远程客户端拥有内部网用户一样的权限和操作功能。 较高的安全级别 — IPsec VPN要求在远程接入客户端适当安装和配置IPsec客户端软件和接入设备，这大大提高了安全级别，因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。 属于端到端服务，不需要骨干