相对于传统的广域网连接具备
1、较低的成本
2、较高的灵活性
3、管理简单
4、使用简单的隧道拓扑
Internet Kea Exchange (IKE)用来进行安全参数的协商
Encapsulating Security Payload (ESP)封装安全负荷,加密和验证,保证数据的私密性,ESP在传输过程中对整个数据包进行加密,同时还能提供对数据包的验证
Authentication Header (AH)提供验证,确认数据完整性而不需要加密时使用
1、隧道模式 IP头-上层数据 新的IP头-IPsec头-(IP头-上层数据 被加密)
2、传输模式 IP头-上层数据 IP头-IPsec头-(上层数据 被加密)
1、host A send interesting traffic to Host B 触发 采用访问控制列表来定义感兴趣的流量
2、Router A and B negotiate IKE Phase 1 session (IKE SA) 阶段一会话协商。协商策略,通过Diffie-hellman(DH)算法交换密钥,然后进行对等体的验证Verify the peer。
IKE策略:加密DES和3DES9对称的加密算法,哈希算法MD5和SHA、预共享密钥pre-share用来做对等提验证、密钥交换方式DH1两端交换一些公有的值来协商出来一个密钥
3、Router A and B negotiate IKE Phase 2 session (IPsec SA) 阶段2会话协商
协商IPsec安全参数、IPsec变化集,建立IPsec SA,周期性的协商IPsecSA来保证安全,可选的,提供一个额外的DH交换
IPsec变换集是确保数据能够安全传输的一系列算法和协议的集合。ESP,3DES,SHA、Tuunnel、Lifetime
4、Information is exchanged via the IPsec tunnel。IPsec会话,对等体之间成功进行了协商,感兴趣的流量的传输经协商得到的方式被保护。
5、The IPsec tunnel is terminated。隧道终结的原因:1、SA Lifetime超时。2、包计数溢出。3、IPsec被删除
1、定义感兴趣流量,使用扩展的ACL
2、定义预共享密钥(如果使用预共享验证)
Router(config)#crypto isakmp key {key} address {对等体地址}
3、配置ISAKMP策略
Router(config)#crypto isakmp policy {优先级1-1000}
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#encryption {des\3des\aes}
Router(config-isakmp)#hash {md5\sha}
Router(config-isakmp)#group{1\2\5}
Router(config-isakmp)#lifetime{60-86400}
4、配置IPsec变化集
Router(config)#crypto ipsec tranform-set{名称}{变化集}
设置感兴趣流量
Router(config)#access-list 100 permit ip 12.1.1.0 0.0.0.255 45.1.1.0 0.0.0.255
定义对等体验证过程中使用的预共享密钥 0代表对密码加密
Router(config)#crypto isakmp key 0 {预共享密钥} address 34.1.1.2
定义IKE策略
Router(config-isakmp)#crypto isakmp policy 1
Router(config-isakmp)#authentication pre-share 验证
Router(config-isakmp)#encryption 3des 加密
Router(config-isakmp)#group 5 DH算法
Router(config-isakmp)#hash sha 哈希算法
Router(config-isakmp)#exit
定义IPsec变化集
Router(config)#crypto ipsec transform-set {变化集名字} esp-3des esp-sha-hmac
Router(cfg-crypto-trans)#exit
创建一个加密映射,将上面的访问控制列表和IPsec变化集关联起来
Router(config)#crypto map cisco 10 ipsec-isakmp
Router(confi-crypto-mapg)#match address 100 匹配访问控制列表
Router(confi-crypto-mapg)#set peer 34.1.1.2 设置对等体的IP
Router(confi-crypto-mapg)#set transform-set {变化集名字}调用变化集
Router(confi-crypto-mapg)#exit
将加密映射挂载到接口上
Router(config)#interface s 1/1 在接口下调用
Router(config-if)#crypto map {变化集名字}
Router(config-if)#exit
Router#ping 45.1.1.2
Router#show crypto ipsec sa
加密4个包解密4个包