當(dāng)前位置：首頁>Cisco產(chǎn)品>Cisco IPsec VPN

Cisco IPsec VPN

VPN優(yōu)勢(shì)

相對(duì)于傳統(tǒng)的廣域網(wǎng)連接具備

1、較低的成本

2、較高的靈活性

3、管理簡單

4、使用簡單的隧道拓?fù)?/p>

IPsec的構(gòu)成

Internet Kea Exchange （IKE）用來進(jìn)行安全參數(shù)的協(xié)商

Encapsulating Security Payload （ESP）封裝安全負(fù)荷，加密和驗(yàn)證，保證數(shù)據(jù)的私密性，ESP在傳輸過程中對(duì)整個(gè)數(shù)據(jù)包進(jìn)行加密，同時(shí)還能提供對(duì)數(shù)據(jù)包的驗(yàn)證

Authentication Header （AH）提供驗(yàn)證，確認(rèn)數(shù)據(jù)完整性而不需要加密時(shí)使用

IPsec的運(yùn)行模式

1、隧道模式 IP頭-上層數(shù)據(jù) 新的IP頭-IPsec頭-（IP頭-上層數(shù)據(jù) 被加密）

2、傳輸模式 IP頭-上層數(shù)據(jù) IP頭-IPsec頭-（上層數(shù)據(jù) 被加密）

 

IPsec運(yùn)行的步驟

1、host A send interesting traffic to Host B 觸發(fā) 采用訪問控制列表來定義感興趣的流量

2、Router A and B negotiate IKE Phase 1 session (IKE SA) 階段一會(huì)話協(xié)商。協(xié)商策略，通過Diffie-hellman（DH）算法交換密鑰，然后進(jìn)行對(duì)等體的驗(yàn)證Verify the peer。

IKE策略：加密DES和3DES9對(duì)稱的加密算法，哈希算法MD5和SHA、預(yù)共享密鑰pre-share用來做對(duì)等提驗(yàn)證、密鑰交換方式DH1兩端交換一些公有的值來協(xié)商出來一個(gè)密鑰

3、Router A and B negotiate IKE Phase 2 session (IPsec SA) 階段2會(huì)話協(xié)商

協(xié)商IPsec安全參數(shù)、IPsec變化集，建立IPsec SA，周期性的協(xié)商IPsecSA來保證安全，可選的，提供一個(gè)額外的DH交換

IPsec變換集是確保數(shù)據(jù)能夠安全傳輸?shù)囊幌盗兴惴ê蛥f(xié)議的集合。ESP，3DES，SHA、Tuunnel、Lifetime

4、Information is exchanged via the IPsec tunnel。IPsec會(huì)話，對(duì)等體之間成功進(jìn)行了協(xié)商，感興趣的流量的傳輸經(jīng)協(xié)商得到的方式被保護(hù)。

5、The IPsec tunnel is terminated。隧道終結(jié)的原因：1、SA Lifetime超時(shí)。2、包計(jì)數(shù)溢出。3、IPsec被刪除

IPsec的配置方式

1、定義感興趣流量，使用擴(kuò)展的ACL

2、定義預(yù)共享密鑰（如果使用預(yù)共享驗(yàn)證）

Router（config)#crypto isakmp key {key} address {對(duì)等體地址}

3、配置ISAKMP策略

Router（config）#crypto isakmp policy {優(yōu)先級(jí)1-1000}

Router(config-isakmp)#authentication pre-share

Router(config-isakmp)#encryption {des\3des\aes}

Router(config-isakmp)#hash {md5\sha}

Router(config-isakmp)#group{1\2\5}

Router(config-isakmp)#lifetime{60-86400}

4、配置IPsec變化集

Router(config)#crypto ipsec tranform-set{名稱}{變化集}

Cisco IPsec VPN實(shí)例

設(shè)置感興趣流量

Router(config)#access-list 100 permit ip 12.1.1.0 0.0.0.255 45.1.1.0 0.0.0.255

定義對(duì)等體驗(yàn)證過程中使用的預(yù)共享密鑰 0代表對(duì)密碼加密

Router(config)#crypto isakmp key 0 {預(yù)共享密鑰} address 34.1.1.2

定義IKE策略

Router(config-isakmp)#crypto isakmp policy 1

Router(config-isakmp)#authentication pre-share 驗(yàn)證

Router(config-isakmp)#encryption 3des 加密

Router(config-isakmp)#group 5 DH算法

Router(config-isakmp)#hash sha 哈希算法

Router(config-isakmp)#exit

定義IPsec變化集

Router(config)#crypto ipsec transform-set {變化集名字} esp-3des esp-sha-hmac

Router(cfg-crypto-trans)#exit

創(chuàng)建一個(gè)加密映射，將上面的訪問控制列表和IPsec變化集關(guān)聯(lián)起來

Router(config)#crypto map cisco 10 ipsec-isakmp

Router(confi-crypto-mapg)#match address 100 匹配訪問控制列表

Router(confi-crypto-mapg)#set peer 34.1.1.2 設(shè)置對(duì)等體的IP

Router(confi-crypto-mapg)#set transform-set {變化集名字}調(diào)用變化集

Router(confi-crypto-mapg)#exit

將加密映射掛載到接口上

Router(config)#interface s 1/1 在接口下調(diào)用

Router(config-if)#crypto map {變化集名字}

Router(config-if)#exit

Router#ping 45.1.1.2

Router#show crypto ipsec sa

加密4個(gè)包解密4個(gè)包

附：Cisco詳細(xì)產(chǎn)品信息

---

聲明：本頁cisco IPsec VPN的有關(guān)內(nèi)容來源于Cisco官方資料僅供參考，請(qǐng)以實(shí)際銷售產(chǎn)品為準(zhǔn)，欲了解交換機(jī)及配件的價(jià)格、交換機(jī)維保詳情請(qǐng)聯(lián)系我們