首页 热点资讯 义务教育 高等教育 出国留学 考研考公
您的当前位置:首页正文

思科IPSec基本命令

2024-09-27 来源:华佗小知识

  一、IPSec一些基本命令。

  R1(config)#crypto ?

  dynamic-map Specify a dynamic crypto map template

  //创建或修改一个动态加密映射表

  ipsec Configure IPSEC policy

  //创建IPSec安全策略

  isakmp Configure ISAKMP policy

  //创建IKE策略

  key Long term key operations

  //为路由器的SSH加密会话产生加密密钥。后面接数值,是key modulus size,单位为bit

  map Enter a crypto map

  //创建或修改一个普通加密映射表

  Router(config)#crypto dynamic-map ?

  WORD Dynamic crypto map template tag

  //WORD为动态加密映射表名

  Router(config)#crypto ipsec ?

  security-association Security association parameters

  // ipsec安全关联存活期,也可不配置,在map里指定即可

  transform-set Define transform and settings

  //定义一个ipsec变换集合(安全协议和算法的一个可行组合)

  Router(config)#crypto isakmp ?

  client Set client configuration policy

  //建立地址池

  enable Enable ISAKMP

  //启动IKE策略,默认是启动的

  key Set pre-shared key for remote peer

  //设置密钥

  policy Set policy for an ISAKMP protection suite

  //设置IKE策略的优先级

  Router(config)#crypto key ?

  generate Generate new keys

  //生成新的密钥

  zeroize Remove keys

  //移除密钥

  Router(config)#crypto map ?

  WORD Crypto map tag

  //WORD为map表名

  二、一些重要命令。

  Router(config)#crypto isakmp policy ?

  <1-10000> Priority of protection suite

  //设置IKE策略,policy后面跟1-10000的数字,这些数字代表策略的优先级。

  Router(config)#crypto isakmp policy 100//进入IKE策略配置模式,以便做下面的配置

  Router(config-isakmp)#encryption ?//设置采用的加密方式,有以下三种

  3des Three key triple DES

  aes AES - Advanced Encryption Standard

  des DES - Data Encryption Standard (56 bit keys).

  Router(config-isakmp)#hash ? //采用的散列算法,MD5为160位,sha为128位。

  md5 Message Digest 5

  sha Secure Hash Standard

  Router(config-isakmp)#authentication pre-share//采用预共享密钥的认证方式

  Router(config-isakmp)#group ?//指定密钥的位数,越往下安全性越高,但加密速度越慢

  1 Diffie-Hellman group 1

  2 Diffie-Hellman group 2

  5 Diffie-Hellman group 5

  Router(config-isakmp)#lifetime ? //指定安全关联生存期,为60-86400秒

  <60-86400> lifetime in seconds

  Router(config)#crypto isakmp key *** address XXX.XXX.XXX.XXX

  //设置IKE交换的密钥,***表示密钥组成,XXX.XXX.XXX.XXX表示对方的IP地址

  Router(config)#crypto ipsec transform-set zx ?

  //设置IPsec交换集,设置加密方式和认证方式,zx是交换集名称,可以自己设置,两端的名字也可不一样,但其他参数要一致。

  ah-md5-hmac AH-HMAC-MD5 transform

  ah-sha-hmac AH-HMAC-SHA transform

  esp-3des ESP transform using 3DES(EDE) cipher (168 bits)

  esp-aes ESP transform using AES cipher

  esp-des ESP transform using DES cipher (56 bits)

  esp-md5-hmac ESP transform using HMAC-MD5 auth

  esp-sha-hmac ESP transform using HMAC-SHA auth

  例:Router(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac

  Router(config)#crypto map map_zx 100 ipsec-isakmp

  //建立加密映射表,zx为表名,可以自己定义,100为优先级(可选范围1-65535),如果有多个表,数字越小的越优先工作。

  Router(config-crypto-map)#match address ?//用ACL来定义加密的通信

  <100-199> IP access-list number

  WORD Access-list name

  Router(config-crypto-map)#set ?

  peer Allowed Encryption/Decryption peer.//标识对方路由器IP地址

  pfs Specify pfs settings//指定上面定义的密钥长度,即group

  security-association Security association parameters//指定安全关联的生存期

  transform-set Specify list of transform sets in priority order

  //指定加密图使用的IPSEC交换集

  router(config-if)# crypto map zx

  //进入路由器的指定接口,应用加密图到接口,zx为加密图名。

  三、一个配置实验。

  实验拓扑图:

  1.R1上的配置。

  Router>enable

  Router#config terminal

  Enter configuration commands, one per line. End with CNTL/Z.

  Router(config)#hostname R1

  //配置IKE策略

  R1(config)#crypto isakmp enable

  R1(config)#crypto isakmp policy 100

  R1(config-isakmp)#encryption des

  R1(config-isakmp)#hash md5

  R1(config-isakmp)#authentication pre-share

  R1(config-isakmp)#group 1

  R1(config-isakmp)#lifetime 86400

  R1(config-isakmp)#exit

  //配置IKE密钥

  R1(config)#crypto isakmp key 123456 address 10.1.1.2

  //创建IPSec交换集

  R1(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac

  //创建映射加密图

  R1(config)#crypto map zx_map 100 ipsec-isakmp

  R1(config-crypto-map)#match address 111

  R1(config-crypto-map)#set peer 10.1.1.2

  R1(config-crypto-map)#set transform-set zx

  R1(config-crypto-map)#set security-association lifetime seconds 86400

  R1(config-crypto-map)#set pfs group1

  R1(config-crypto-map)#exit

  //配置ACL

  R1(config)#access-list 111 permit ip 192.168.1.10 0.0.0.255 192.168.2.10 0.0.0.255

  //应用加密图到接口

  R1(config)#interface s1/0

  R1(config-if)#crypto map zx_map

  2.R2上的配置。

  与R1的配置基本相同,只需要更改下面几条命令:

  R1(config)#crypto isakmp key 123456 address 10.1.1.1

  R1(config-crypto-map)#set peer 10.1.1.1

  R1(config)#access-list 111 permit ip 192.168.2.10 0.0.0.255 192.168.1.10 0.0.0.255

  3.实验调试。

  在R1和R2上分别使用下面的命令,查看配置信息。

  R1#show crypto ipsec ?

  sa IPSEC SA table

  transform-set Crypto transform sets

  R1#show crypto isakmp ?

  policy Show ISAKMP protection suite policy

  sa Show ISAKMP Security Associations

  四、相关知识点。

  对称加密或私有密钥加密:加密解密使用相同的'私钥

  DES--数据加密标准 data encryption standard

  3DES--3倍数据加密标准 triple data encryption standard

  AES--高级加密标准 advanced encryption standard

  一些技术提供验证:

  MAC--消息验证码 message authentication code

  HMAC--散列消息验证码 hash-based message authentication code

  MD5和SHA是提供验证的散列函数

  对称加密被用于大容量数据,因为非对称加密站用大量cpu资源

  非对称或公共密钥加密:

  RSA rivest-shamir-adelman

  用公钥加密,私钥解密。公钥是公开的,但只有私钥的拥有者才能解密

  两个散列常用算法:

  HMAC-MD5 使用128位的共享私有密钥

  HMAC-SHA-I 使用160位的私有密钥

  ESP协议:用来提供机密性,数据源验证,无连接完整性和反重放服务,并且通过防止流量分析来限制流量的机密性,这些服务以来于SA建立和实现时的选择。

  加密是有DES或3DES算法完成。可选的验证和数据完整性由HMAC,keyed SHA-I或MD5提供

  IKE--internet密钥交换:他提供IPSEC对等体验证,协商IPSEC密钥和协商IPSEC安全关联

  实现IKE的组件

  1:des,3des 用来加密的方式

  2:Diffie-Hellman 基于公共密钥的加密协议允许对方在不安全的信道上建立公共密钥,在IKE中被用来建立会话密钥。group 1表示768位,group 2表示1024位

  3:MD5,SHA--验证数据包的散列算法。RAS签名--基于公钥加密系统

1.

2.

3.

4.

5.

6.

7.

8.

华佗小知识还为您提供以下相关内容希望对您有帮助:

思科IPSec基本命令

Router(config)#crypto ipsec ?security-association Security association parameters // ipsec安全关联存活期,也可不配置,在map里指定即可 transform-set Define transform and settings //定义一个ipsec变换集合(安全协议和算法的一个可行组合)Router(config)#crypto isakmp ?client Set client configuration...

思科交换机的VPN中,IPsec的IKE的SA的生存时间,更新时间怎么配置?_百度...

R1(config)#crypto isakmp policy ?&lt;1-10000&gt; Priority of protection suite R1(config-isakmp)#lifetime ?&lt;60-86400&gt; lifetime in seconds 默认是1天。

思科防火墙ASA5520 ipsec vpn 配置实例

左边的f0/0口的ip是192.168.1.254右边的f0/0口ip是192.168.2.254。配置VPN1Router&gt;enRouter#conf tRouter(config)#host VPN1VPN1 (config)#int fa0/0VPN1(config-if)#ip add 192.168.1.254 255.255.255.0VPN1 (config-if)#no shVPN1 (config-if)#exitVPN1 (config)#int s1/0...

思科Cisco路由器的ACL控制列表设置

1、根据问题1,需在在switch3上做acl,其PC3不能访问服务器192.168.3.3,命令如下:switch3(config)#access-list 100 deny host 192.168.4.4 host 192.168.3.3 //拒绝网络192.168.4.4访问服务器192.168.3.3。switch3(config)#access-list 100 peimit ip any any //允许其他主机访...

[思科实验] IPSEC对接——采用IKEv1野蛮模式

设备不支持命令remote-name,其命令功能等同于命令remote-id``remote-address 60.1.2.1``#``ipsec policy policy1 10 isakmp //配置IPSec安全策略``security acl 3000 ike-peer peer1``proposal prop1``#``interface GigabitEthernet0/0/1``ip address 60.1.1.1 255.255.255.0``ipsec ...

思科设置静态ip

crypto map xxx(map名称) 1 ipsec-isakmp set peer xxx.xxx.xxx.xxx(对端ip)set transform-set xxx(传输模式名称)match address 101(ACL号)exit interface ge0/0 crypto map xxx(map名称)exit exit copy running-config start-config 对端路由器配置一样 但是注意ip地址使用相对于本路由器的...

思科配置常见问题及其解决方法

要解决之,可以在集中器上找到“配置(Configuration)”/“系统(System)”/“隧道协议(Tunneling Protocol)”/“IPSec局域网到局域网(IPSec LAN-to-LAN)”选项,并选择你的IPSec配置。在预共享密钥(Preshared Key)字段中,输入你的预共享密钥。在一个用于与集中器关联的思科PIX防火墙上,应使用命令: sakmp key ...

网络工程师如何在EVE模拟器用思科路由器配置GRE Over IPsec ?

接下来,配置GRE(Generic Routing Encapsulation)以创建虚拟隧道接口,同时指定隧道接口的IP地址。在此基础上,设置R1和R3(模拟的分公司与总部网关设备)的路由器ID,并启用OSPF(Open Shortest Path First)路由协议。紧随其后,使用ACL(Access Control List)配置感兴趣的流量以支持IPsec(Internet ...

网络工程师如何在EVE模拟器用思科路由器配置GRE Over IPsec ?

网络工程师在EVE模拟器中使用思科路由器配置GRE Over IPsec,以实现两个站点间的动态路由和数据安全。当需要多个网段间的通信,且希望通过IPsec V-P-N提供安全保护时,GRE Over IPsec就显得尤为重要。首先,目标是搭建一个拓扑,通过GRE创建虚拟隧道接口,配置相应的IP地址,以便在GRE隧道下运行动态路由...

GRE Over IPSec配置及抓包分析

在配置GRE隧道时,关键在于指定源地址(10.1.1.0/24)和目的地址(10.1.2.0/24),同时确保路由下一跳指向tunnel接口。配置GRE Over IPSec时,需特别注意,保护数据流的ACL应针对GRE封装后的报文,即源地址为GRE隧道源地址,目的地址为隧道目的地址,而非内部私网地址。实验中,两个网络A和B通过...

显示全文

猜你还关注