书香门第
网站首页 语言 会计 电脑 医学 资格证 职场 文艺体育 范文
当前位置:书香门第 > IT认证 > 思科认证

思科IPSec基本命令汇总

栏目: 思科认证 / 发布于: / 人气:5.88K

“Internet 协议安全性 (IPSec)”是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。那么思科怎么配置IPSec呢?配置命令如何?下面跟yjbys小编一起来看看吧!

思科IPSec基本命令汇总

  一、IPSec一些基本命令。

R1(config)#crypto ?

dynamic-map Specify a dynamic crypto map template

//创建或修改一个动态加密映射表

ipsec Configure IPSEC policy

//创建IPSec安全策略

isakmp Configure ISAKMP policy

//创建IKE策略

key Long term key operations

//为路由器的SSH加密会话产生加密密钥。后面接数值,是key modulus size,单位为bit

map Enter a crypto map

//创建或修改一个普通加密映射表

Router(config)#crypto dynamic-map ?

WORD Dynamic crypto map template tag

//WORD为动态加密映射表名

Router(config)#crypto ipsec ?

security-association Security association parameters

// ipsec安全关联存活期,也可不配置,在map里指定即可

transform-set Define transform and settings

//定义一个ipsec变换集合(安全协议和算法的一个可行组合)

Router(config)#crypto isakmp ?

client Set client configuration policy

//建立地址池

enable Enable ISAKMP

//启动IKE策略,默认是启动的

key Set pre-shared key for remote peer

//设置密钥

policy Set policy for an ISAKMP protection suite

//设置IKE策略的优先级

Router(config)#crypto key ?

generate Generate new keys

//生成新的密钥

zeroize Remove keys

//移除密钥

Router(config)#crypto map ?

WORD Crypto map tag

//WORD为map表名

  二、一些重要命令。

Router(config)#crypto isakmp policy ?

<1-10000> Priority of protection suite

//设置IKE策略,policy后面跟1-10000的数字,这些数字代表策略的优先级。

Router(config)#crypto isakmp policy 100//进入IKE策略配置模式,以便做下面的配置

Router(config-isakmp)#encryption ?//设置采用的加密方式,有以下三种

3des Three key triple DES

aes AES - Advanced Encryption Standard

des DES - Data Encryption Standard (56 bit keys).

Router(config-isakmp)#hash ? //采用的散列算法,MD5为160位,sha为128位。

md5 Message Digest 5

sha Secure Hash Standard

Router(config-isakmp)#authentication pre-share//采用预共享密钥的认证方式

Router(config-isakmp)#group ?//指定密钥的位数,越往下安全性越高,但加密速度越慢

1 Diffie-Hellman group 1

2 Diffie-Hellman group 2

5 Diffie-Hellman group 5

Router(config-isakmp)#lifetime ? //指定安全关联生存期,为60-86400秒

<60-86400> lifetime in seconds

Router(config)#crypto isakmp key *** address

//设置IKE交换的密钥,***表示密钥组成,表示对方的IP地址

Router(config)#crypto ipsec transform-set zx ?

//设置IPsec交换集,设置加密方式和认证方式,zx是交换集名称,可以自己设置,两端的名字也可不一样,但其他参数要一致。

ah-md5-hmac AH-HMAC-MD5 transform

ah-sha-hmac AH-HMAC-SHA transform

esp-3des ESP transform using 3DES(EDE) cipher (168 bits)

esp-aes ESP transform using AES cipher

esp-des ESP transform using DES cipher (56 bits)

esp-md5-hmac ESP transform using HMAC-MD5 auth

esp-sha-hmac ESP transform using HMAC-SHA auth

例:Router(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac

Router(config)#crypto map map_zx 100 ipsec-isakmp

//建立加密映射表,zx为表名,可以自己定义,100为优先级(可选范围1-65535),如果有多个表,数字越小的越优先工作。

Router(config-crypto-map)#match address ?//用ACL来定义加密的通信

<100-199> IP access-list number

WORD Access-list name

Router(config-crypto-map)#set ?

peer Allowed Encryption/Decryption peer.//标识对方路由器IP地址

pfs Specify pfs settings//指定上面定义的密钥长度,即group

security-association Security association parameters//指定安全关联的生存期

transform-set Specify list of transform sets in priority order

//指定加密图使用的IPSEC交换集

router(config-if)# crypto map zx

//进入路由器的指定接口,应用加密图到接口,zx为加密图名。

  三、一个配置实验。

实验拓扑图:

1.R1上的配置。

Router>enable

Router#config terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#hostname R1

//配置IKE策略

R1(config)#crypto isakmp enable

R1(config)#crypto isakmp policy 100

R1(config-isakmp)#encryption des

R1(config-isakmp)#hash md5

R1(config-isakmp)#authentication pre-share

R1(config-isakmp)#group 1

R1(config-isakmp)#lifetime 86400

R1(config-isakmp)#exit

//配置IKE密钥

R1(config)#crypto isakmp key 123456 address

//创建IPSec交换集

R1(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac

//创建映射加密图

R1(config)#crypto map zx_map 100 ipsec-isakmp

R1(config-crypto-map)#match address 111

R1(config-crypto-map)#set peer

R1(config-crypto-map)#set transform-set zx

R1(config-crypto-map)#set security-association lifetime seconds 86400

R1(config-crypto-map)#set pfs group1

R1(config-crypto-map)#exit

//配置ACL

R1(config)#access-list 111 permit ip

//应用加密图到接口

R1(config)#interface s1/0

R1(config-if)#crypto map zx_map

2.R2上的配置。

与R1的配置基本相同,只需要更改下面几条命令:

R1(config)#crypto isakmp key 123456 address

R1(config-crypto-map)#set peer

R1(config)#access-list 111 permit ip

3.实验调试。

在R1和R2上分别使用下面的命令,查看配置信息。

R1#show crypto ipsec ?

sa IPSEC SA table

transform-set Crypto transform sets

R1#show crypto isakmp ?

policy Show ISAKMP protection suite policy

sa Show ISAKMP Security Associations

  四、相关知识点

对称加密或私有密钥加密:加密解密使用相同的'私钥

DES--数据加密标准 data encryption standard

3DES--3倍数据加密标准 triple data encryption standard

AES--高级加密标准 advanced encryption standard

一些技术提供验证:

MAC--消息验证码 message authentication code

HMAC--散列消息验证码 hash-based message authentication code

MD5和SHA是提供验证的散列函数

对称加密被用于大容量数据,因为非对称加密站用大量cpu资源

非对称或公共密钥加密:

RSA rivest-shamir-adelman

用公钥加密,私钥解密。公钥是公开的,但只有私钥的拥有者才能解密

两个散列常用算法:

HMAC-MD5 使用128位的共享私有密钥

HMAC-SHA-I 使用160位的私有密钥

ESP协议:用来提供机密性,数据源验证,无连接完整性和反重放服务,并且通过防止流量分析来限制流量的机密性,这些服务以来于SA建立和实现时的选择。

加密是有DES或3DES算法完成。可选的验证和数据完整性由HMAC,keyed SHA-I或MD5提供

IKE--internet密钥交换:他提供IPSEC对等体验证,协商IPSEC密钥和协商IPSEC安全关联

实现IKE的组件

1:des,3des 用来加密的方式

2:Diffie-Hellman 基于公共密钥的加密协议允许对方在不安全的信道上建立公共密钥,在IKE中被用来建立会话密钥。group 1表示768位,group 2表示1024位

3:MD5,SHA--验证数据包的散列算法。RAS签名--基于公钥加密系统

Tags:IPSec 思科 汇总 命令
猜你喜欢
关于Pspice电路分析的基本概念 dos命令之SCANDISK命令-检测、修复磁盘命令 《People Description》的英语教学反思 思科认证基础:Switching命令大全 CiscoIOS基本命令集 cisco基本配置命令 DOS的Append、Debug、Diskcomp命令使用说明 2016年思科认证基础:Switching 命令大全 英语阅读:Life is inevitable consequence of physics 2016年思科认证基础知识:Switching命令大全
相关文章
linux中ipcs命令使用详解 Relieve Psychological Pressure的英语短文 nice surprise的中文是什么意思 英文side piece是什么汉语意思 Keeping Healthy Topic2 Section C教案教学反思 Chimp Cops Arbitrate Disputes美文欣赏 少儿英语小故事:She Practices Flips for the Olympic 英语四级作文The Importance of Physical Exercise 思科与H3C配置命令对比MSTP VRRP 英语阅读:TheTwelveDancingPrincesses
热门文章
Myfavoritesubjectisscience教案 Zend studio for eclipse中使php可以调用mysql相关函数的设置方 思科认证实施Cisco IP路由考试概述 Changes in Peoples Life初中英语作文 PHP创建和使用sessioncookie变量的方法 DOS的Interlnk、Intersvr、Qbasic命令使用说明 GRE常见词根词汇之cept cid 和cis Pick the Worlds Ugliest Insect英语作文  Chinese spring festival英语作文 精选初三英语作文:看日食 Seeing the Eclipse China raises fuel prices英语作文 Unit six Opening and Closing Ceremonies口译材料 PHP中session和cookie无效的解决方法 Some words for this special occasion英文美文欣赏 思科认证实施Cisco IP交换网络考试
热门搜索
齐天乐·蟋蟀原文赏析 乡镇揭牌仪式致辞 珍惜作文300字 好长 古风心碎的句子 经典古风的唯美语录40条 底乡 基本方位 黄牌 写赏月的作文 以我的偶像为题作文 摩托艇 只是因为坚持作文600字 《影响力》的读后感 全国交通安全日主题宣传活动方案 建筑设施 2016linux 形容想念一个人的句子 第二十六次 老师辛勤付出的句子 我爱学英语作文 我爱风 警报 年学委 之鲁四公 管理会计心得体会 胶粘剂 最新的年会优秀主持词 红外 拔高 新西兰有哪些著名大学值得你去留学 未来二十年后的家乡作文650字 春天的柳树的作文300字 副总工程师岗位职责 甘泉 取之不竭 乡下一天作文 同里 光阴似箭 最新我的梦想600字作文 阿良 情人节祝福语句35条 文明交通安全出行感人演讲稿 最是 一年级语文期中考试质量分析报告 策武 喷药 以贤为
推荐内容
php使用sessioncookie变量的方法 思科交换机的基本配置命令 Perseverance will make you successful英语作文 思想汇报基本写法 In campus big pine tree小学英语作文 党基本知识的思想汇报6篇 关于命令的写作基础 英语specific是什么汉语意思 PHP创建和使用session cookie变量 PHP解密Unicode及Escape加密字符串 详解JavaScript中的splice()使用方法 php中session和cookie的区别 我的英语演讲稿living at present is my top concern linux设置开启swap交换分区基本命令(虚拟内存) Experience keeps英语写作怎么用 PHP中使用XML-RPC构造Web Service简单入门 Is a Test of Spoken English Necessary英语四级作文 DOS的Expand、Fasthelp、Fc命令使用说明 2015年12月英语四级写作范文:Excess Spending on Campus
最近更新
  • 计量年度工作总结
  • 工作考核评估方案范文(精选7篇)
  • 通用甜蜜爱情语录集锦58条
  • 实用的四年级周记集锦八篇
  • 2023年通用朋友圈正能量句子集锦98条
  • 2016年质量工程师考试初级相关知识练习题
  • 海的女儿读后感500字
  • 高三动员会上的讲话
  • 最新央视朗读者第七期观后感
  • 优秀想象作文300字合集8篇
  • 幼儿园艺术节活动方案(汇编15篇)
  • 餐厅转让合同汇总七篇
  • 【实用】工程的实习报告集锦六篇
  • 服务合作协议书模板集合5篇
  • 2017成人高考轻松应试的建议
    • 书香门第 - 留学出国,日语自学,工作计划一切为你而存在
    Copyright © 2024 书香门第 All Rights Reserved.