網絡設備的安全部署
VPN的模式:
①傳輸模式:適應於局域網,效率高,IP包頭未被保護,只保護數據
②隧道模式:適應於互聯網,IP包頭被保護,安全性高
VPN類型:
①站點到站點:總公司和分公司之間
②遠程訪問:個人與公司間
加密算法:
對稱加密算法:加解密的密鑰相同,類型:des 3des aes
非對稱加密算法:使用一對公鑰和私鑰,互相加解密,公鑰公開,私鑰持有者保存,
主要算法有:rsa dsa dh
驗證算法:md5和sha
ISAKMP/IKE階段1:管理連接階段 500/udp
配置傳輸集參數:加密算法、驗證算法、驗證類型、DH密鑰組、生存周期
ISAKMP/IKE階段2:數據連接
定義VPN間流量:ACL
定義保護數據的安全協議(SA)
AH:只驗證,驗證IP包頭,安全,但不支持NAT
ESP:驗證、加密,支持NAT
IPSec VPN的配置:
(config)#crypto isakmp policy 1 管理連接
#encryption 3des(加密算法)
#hash sha(驗證算法)
#authentication pre-share(預先共享方法)
#group 2|1|5(指定DH密鑰組)
#lifetime 10000(秒)(管理連接斷開時間)
(config)#crypto isakmp key 0 address 對方IP(共享密鑰)
零,明文
訪問控制觸發 VPN
(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.10.0 0.0.0.255
加密和認證算法要相同
(config)#crypto ipsec transform-set t352 esp-des ah-sha-hmac(加密和驗證)
#mode tunnel(VPN模式)
#exit
(config)#crypto ipsec security-association lifetime seconds 1800(秒)(斷開時間)
(config)#crypto map hanming 1 ipsec-isakmp 映射MAP
#set peer 202.2.2.2(對方IP)
#set transform-set t352
#match address 100(ACL編號)
#exit
(config)#int f1/0(外部接口)
#crypto map hanming(MAP名字)
網絡設備的安全部署