1

2009-12-01 16:33:57
 标签:××× IPSEC    [推送到技术圈]

版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://liningxiao.blog.51cto.com/925890/237387
IPSEC-×××总体上实现,理论上比较复杂,因此我们先从一个简单的实验开始
我们先别管为什么这么配置,在后面我会一一解释,但是根据我的理解我们必须要有一定的理论支撑,才能够完全理解,况且IPSEC的应用比较灵活,根据客户的不同要求,我们可以建立不同的解决方案。
第一点:先说一下所存在的网络拓扑
 1、Host  to  Host (l两个终端之间)
2、HOST 对 ×××网关(终端到站点,也可以说远程接入)
3、×××网关 对 ×××网关 (通常说站点到站点)
4、Remove user 对×××网关 (和第二个情况一样)
第二点:说一下IPSEC的两种很重要的协议
AH:authentication header 认证报头
ESP:encapsulation secure payload  封装安全负载
贴一个协议框架图
IPsec-***
第三:说个实验
拓扑如下
IPsec-***
前提是他们能相互通信,只需要确定那些数据需要加密!
SITE1的配置:
crypto isakmp policy 1 .........创建优先级为1的isakmp策略
 hash md5............哈希算法采用md5算法
 authentication pre-share........认证方式采用预共享认证方式
 lifetime 1000........IKE的生存周期1000秒
!
crypto isakmp key cisco address 172.30.2.2......IKE采用与对等体端172.30.2.2使用共享**cisco,
!
!
crypto ipsec transform-set tt ah-sha-hmac 创建IPSEC交换集指定AH的认证加密方式,当然还有ESP的。
!
crypto map cisco 1 ipsec-isakmp .......创建映射图cisco并关联IPSEC和IKE。
 set peer 172.30.2.2.......指定对等体端的地址
 set pfs group1....指定diffie-hellman算法
 set security-association lifetime seconds 1000......指定安全关联的时间。
 set transform-set tt .......关联上面搭建的交换集
 match address 100.......关联感兴趣流,防控列表号。
access-list 100 permit ip host 10.0.1.3 host 10.0.2.3.......创建感兴趣流
SITE2:
crypto isakmp policy 1
 hash md5
 authentication pre-share
 lifetime 1000
!
crypto isakmp key cisco address 172.30.1.2
!
!
crypto ipsec transform-set tt ah-sha-hmac
!
crypto map cisco 1 ipsec-isakmp
 set peer 172.30.1.2
 set pfs group1
 set security-association lifetime seconds 1000
 set transform-set tt
 match address 100
access-list 100 permit ip host 10.0.2.3 host 10.0.1.3
最后我们测试(略)
我测试是成功的,只是里面的debug信息,还没有研究透。IPsec-***
以上的实验还有一些配置没有完全出来,那你就自己做不明白就打?号,呵呵这个实验先到这。
未完!待续