IPSec基本配置命令.doc

一、一些基本命令。R1(config)#crypto ? dynamic-map Specify a dynamic crypto map template/创建或修改一个动态加密映射表 ipsec Configure IPSEC policy/创建IPSec安全策略 isakmp Configure ISAKMP policy/创建IKE策略 key Long term key operations/为路由器的SSH加密会话产生加密密钥。后面接数值，是key modulus size，单位为bit map Enter a crypto map/创建或修改一个普通加密映射表Router(config)#crypto dynamic-map ? WORD Dynamic crypto map template tag/WORD为动态加密映射表名Router(config)#crypto ipsec ? security-association Security association parameters/ ipsec安全关联存活期，也可不配置，在map里指定即可 transform-set Define transform and settings/定义一个ipsec变换集合（安全协议和算法的一个可行组合）Router(config)#crypto isakmp ? client Set client configuration policy/建立地址池 enable Enable ISAKMP/启动IKE策略，默认是启动的 key Set pre-shared key for remote peer/设置密钥 policy Set policy for an ISAKMP protection suite/设置IKE策略的优先级Router(config)#crypto key ? generate Generate new keys/生成新的密钥 zeroize Remove keys/移除密钥Router(config)#crypto map ? WORD Crypto map tag/WORD为map表名二、一些重要命令。Router(config)#crypto isakmp policy ? 1-10000 Priority of protection suite/设置IKE策略，policy后面跟1-10000的数字，这些数字代表策略的优先级。Router(config)#crypto isakmp policy 100 /进入IKE策略配置模式，以便做下面的配置Router(config-isakmp)#encryption ? /设置采用的加密方式，有以下三种 3des Three key triple DES aes AES - Advanced Encryption Standard des DES - Data Encryption Standard (56 bit keys).Router(config-isakmp)#hash ? /采用的散列算法，MD5为160位，sha为128位。 md5 Message Digest 5 sha Secure Hash StandardRouter(config-isakmp)#authentication pre-share /采用预共享密钥的认证方式Router(config-isakmp)#group ?/指定密钥的位数，越往下安全性越高，但加密速度越慢 1 Diffie-Hellman group 1 2 Diffie-Hellman group 2 5 Diffie-Hellman group 5Router(config-isakmp)#lifetime ? /指定安全关联生存期，为60-86400秒 60-86400 lifetime in secondsRouter(config)#crypto isakmp key * address XXX.XXX.XXX.XXX/设置IKE交换的密钥，*表示密钥组成，XXX.XXX.XXX.XXX表示对方的IP地址Router(config)#crypto ipsec transform-set zx ?/设置IPsec交换集，设置加密方式和认证方式，zx是交换集名称，可以自己设置，两端的名字也可不一样，但其他参数要一致。 ah-md5-hmac AH-HMAC-MD5 transform ah-sha-hmac AH-HMAC-SHA transform esp-3des ESP transform using 3DES(EDE) cipher (168 bits) esp-aes ESP transform using AES cipher esp-des ESP transform using DES cipher (56 bits) esp-md5-hmac ESP transform using HMAC-MD5 auth esp-sha-hmac ESP transform using HMAC-SHA auth例：Router(config)#crypto ipsec transform-set zx esp-des esp-md5-hmacRouter(config)#crypto map map_zx 100 ipsec-isakmp/建立加密映射表，zx为表名，可以自己定义，100为优先级（可选范围1-65535），如果有多个表，数字越小的越优先工作。Router(config-crypto-map)#match address ? /用ACL来定义加密的通信 100-199 IP access-list number WORD Access-list nameRouter(config-crypto-map)#set ? peer Allowed Encryption/Decryption peer. /标识对方路由器IP地址 pfs Specify pfs settings /指定上面定义的密钥长度，即group security-association Security association parameters /指定安全关联的生存期 transform-set Specify list of transform sets in priority order /指定加密图使用的IPSEC交换集router(config-if)# crypto map zx/进入路由器的指定接口，应用加密图到接口，zx为加密图名。三、一个配置实验。实验拓扑图：1.R1上的配置。RouterenableRouter#config terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R1/配置IKE策略R1(config)#crypto isakmp enableR1(config)#crypto isakmp policy 100R1(config-isakmp)#encryption desR1(config-isakmp)#hash md5R1(config-isakmp)#authentication pre-shareR1(config-isakmp)#group 1R1(config-isakmp)#lifetime 86400R1(config-isakmp)#exit/配置IKE密钥R1(config)#crypto isakmp key 123456 address 10.1.1.2/创建IPSec交换集R1(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac/创建映射加密图R1(config)#crypto map zx_map 100 ipsec-isakmp R1(config-crypto-map)#match address 111R1(config-crypto-map)#set peer 10.1.1.2R1(config-crypto-map)#set transform-set zxR1(config-crypto-map)#set security-association lifetime seconds 86400R1(config-crypto-map)#set pfs group1R1(config-crypto-map)#exit/配置ACLR1(config)#access-list 111 permit ip 192.168.1.10 0.0.0.255 192.168.2.10 0.0.0.255/应用加密图到接口R1(config)#interface s1/0R1(config-if)#crypto map zx_map2.R2上的配置。与R1的配置基本相同，只需要更改下面几条命令：R1(config)#crypto isakmp key 123456 address 10.1.1.1R1(config-crypto-map)#set peer 10.1.1.1R1(config)#access-list 111 permit ip 192.168.2.10 0.0.0.255 192.168.1.10 0.0.0.2553.实验调试。在R1和R2上分别使用下面的命令，查看配置信息。R1#show crypto ipsec ? sa IPSEC SA table transform-set Crypto transform setsR1#show crypto isakmp ? policy Show ISAKMP protection suite policy sa Show ISAKMP Security Associations四、相关知识点。对称加密或私有密钥加密：加密解密使用相同的私钥DES-数据加密标准 data encryption standard3DES-3倍数据加密标准 triple data encryption standardAES-高级加密标准 advanced encryption standard一些技术提供验证：MAC-消息验证码message authentication codeHMAC-散列消息验证码hash-based message authentication codeMD5和SHA是提供验证的散列函数对称加密被用于大容量数据，因为非对称加密站用大量cpu资源非对称或公共密钥加密：RSA rivest-shamir-adelman用公钥加密，私钥解密。公钥是公开的，但只有私钥的拥有者才能解密两个散列常用算法：HMAC-MD5 使用128位的共享私有密钥HMAC-SHA-I使用160位的私有密钥ESP协议：用来提供机密性，数据源验证，无连接完整性和反重放服务，并且通过防止流量分析来限制流量的机密性，这些服务以来于SA建立和实现时的选择。加密是有DES