实验5IPSECIKE模式(精)
- 格式:ppt
- 大小:876.50 KB
- 文档页数:6


配置步骤:一、.使得R1与R3之间(公网之间)能够通信[R1]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2[R3]ip route-static 0.0.0.0 0.0.0.0 23.1.1.2二、IPSEC配置R1配置:1.配置数据流[R1]acl num 3000[R1-acl-adv-3000]rule permit ip source 192.168.1.1 0.0.0.0 destination 192.168.2.1 0.0.0.02.IKE策略配置[R1]ikeproposal 10//创建IKE提议,并进入IKE视图[R1-ike-proposal-10]encryption-algorithm 3des-cbc //IKE提议使用的加密算法[R1-ike-proposal-10]authentication-method pre-share //IKE提议使用的密钥处理方式[R1-ike-proposal-10]authentication-algorithm md5 //IKE提议使用的验证算法[R1-ike-proposal-10]dhgroup2 //IKE提议使用的DH交换组[R1-ike-proposal-10]sa duration86400 //ISAKMP SA生存周期[R1-ike-proposal-10]3.配置IKE对等体及密钥[R1]ike peer R3 //创建IKE对等体,并进入IKE对等体视图[R1-ike-peer-r3]exchange-mode main //IKE对等体的协商模式[R1-ike-peer-r3]pre-shared-key h3c //IKE对等体的密钥[R1-ike-peer-r3]local-address 12.1.1.1 //本端安全网关地址[R1-ike-peer-r3]remote-address 23.1.1.3 //对端安全网关地址[R1-ike-peer-r3]remote-name R3 //对端安全网关名称[R1]ike local-name R1 //本端安全网关名称[R1]4. IPSEC安全提议配置[R1]ipsec proposalr1 //创建IPSEC安全提议[R1-ipsec-proposal-r1]transform esp//安全协议[R1-ipsec-proposal-r1]espencryption-algorithm 3des //ESP协议采用加密算法[R1-ipsec-proposal-r1]esp authentication-algorithm md5 //ESP 协议采用验证算法[R1-ipsec-proposal-r1]encapsulation-modetunnel //ESP协议采用工作模式[R1-ipsec-proposal-r1]5.配置IKE协商的安全策略[R1]ipsec policy 1 10isakmp //创建一条安全策略[R1-ipsec-policy-isakmp-1-10]security acl3000 //配置安全c策略所引用的ACL[R1-ipsec-policy-isakmp-1-10]proposal r1//配安全策略所引用的安全提议[R1-ipsec-policy-isakmp-1-10]ike-peerr3 //引用的IKE对等体[R1-ipsec-policy-isakmp-1-10]pfsdh-group5 //DH组[R1-ipsec-policy-isakmp-1-10]sa duration time-based 86400 //ipsec SA生存周期[R1-ipsec-policy-isakmp-1-10]q6.在接口上应用安全策略[R1]int s0/2/0[R1-Serial0/2/0]ipsec policy 1 //在接口上应用安全策略[R1]R3的配置[R3]ip route-static 0.0.0.0 0.0.0.0 23.1.1.2[R3]acl number 3000[R3-acl-adv-3000]rule pe[R3-acl-adv-3000]rule permit ip source 192.168.2.1 0.0.0.0 destination 192.168.1.1 0.0.0.0[R3-acl-adv-3000]q[R3]ike proposal 10[R3-ike-proposal-10]encryption-algorithm 3des-cbc[R3-ike-proposal-10]authentication-method pre-share[R3-ike-proposal-10]authentication-algorithm md5[R3-ike-proposal-10]dh group2[R3-ike-proposal-10]sa duration 86400[R3-ike-proposal-10]q[R3]ike peer R1[R3-ike-peer-r1]exchange-mode main[R3-ike-peer-r1]pre-shared-key h3c[R3-ike-peer-r1]local-a 23.1.1.3[R3-ike-peer-r1]remote-address 12.1.1.1[R3-ike-peer-r1]remote-name R1[R3-ike-peer-r1]Q[R3]ipsec proposal r3[R3-ipsec-proposal-r3]transform esp[R3-ipsec-proposal-r3]esp encryption-algorithm 3des[R3-ipsec-proposal-r3]esp authentication-algorithm md5[R3-ipsec-proposal-r3]encapsulation-mode tunnel[R3-ipsec-proposal-r3]q[R3]ipsec policy 1 10 isakmp[R3-ipsec-policy-isakmp-1-10]security acl 3000[R3-ipsec-policy-isakmp-1-10]proposal r3[R3-ipsec-policy-isakmp-1-10]ike-peer R1[R3-ipsec-policy-isakmp-1-10]sa duration time-based 86400 [R3-ipsec-policy-isakmp-1-10]q[R3]int s0/2/0[R3-Serial0/2/0]ipsec policy 1[R3-Serial0/2/0]q三、测试实验结果[R1]ping -a 192.168.1.1 192.168.2.1PING 192.168.2.1: 56 data bytes, press CTRL_C to break Reply from 192.168.2.1: bytes=56 Sequence=1 ttl=255 time=5 msReply from 192.168.2.1: bytes=56 Sequence=2 ttl=255 time=20 ms Request time outReply from 192.168.2.1: bytes=56 Sequence=4 ttl=255 time=26 ms Request time out--- 192.168.2.1 ping statistics ---5 packet(s) transmitted3 packet(s) received40.00% packet lossround-trip min/avg/max = 5/17/26 ms[R1]此时两个内网之间能够正常通信。
IKEIPSec密钥协商协议IKE (Internet Key Exchange) 是一种用于建立和管理 VPN (Virtual Private Network) 连接的协议,而 IPSec (Internet Protocol Security) 则是一种网络层协议,用于实现网络通信的安全性和私密性。
在VPN连接中,IKE负责协商双方之间的密钥,以确保数据传输的机密性和完整性。
本文将介绍IKEIPSec密钥协商协议的工作原理及其在网络通信中的应用。
一、IKEIPSec密钥协商协议的概述IKEIPSec密钥协商协议是一种复杂的协议,由几个不同的阶段和子协议组成。
它的主要任务是在VPN连接建立时,协商并交换用于数据加密和认证的密钥。
通过IKEIPSec密钥协商协议,网络中的两个节点可以建立一个安全通道,确保数据在传输过程中的安全性。
二、IKEIPSec密钥协商协议的工作原理1. 密钥交换阶段在IKEIPSec密钥协商协议中,首先进行密钥交换阶段。
在此阶段,两个节点将协商使用的加密算法、认证算法、密钥长度等安全参数,并交换公开密钥。
这些公开密钥用于建立一个安全通信渠道,确保后续的密钥交换的机密性。
2. 安全关联建立阶段在密钥交换阶段之后,进入安全关联建立阶段。
在此阶段,两个节点将协商建立安全关联所需的相关信息,包括安全协议的模式(主模式或快速模式)、持续时间、加密和认证算法等。
然后,它们将使用协商得到的参数来生成和分享会话密钥。
3. 数据传输阶段在安全关联建立之后,数据传输阶段开始。
在此阶段,通过使用之前协商好的会话密钥,两个节点可以进行安全的数据传输。
IKEIPSec 协议使用IPSec协议来对数据进行加密和认证,在数据传输过程中保证数据的机密性和完整性。
三、IKEIPSec密钥协商协议在网络通信中的应用IKEIPSec密钥协商协议在网络通信中的应用十分广泛。
以下是几个常见的应用场景:1. 远程办公随着远程办公的兴起,越来越多的企业采用VPN连接来保护远程员工与公司内部网络的通信安全。
VPN测试用例-IPsec 文档版本历史适用性说明1.功能说明:支持ESP和AH封装协议;支持隧道模式和传输模式;支持Site to Site、Remote Access两种VPN组网形式;支持预共享密钥和X.509数字证书两种身份认证形式;支持通过IKE自动完成IPSec安全联盟协商;支持DES、3DES、AES128/192/256等多种加密算法;支持MD5、SHA-1等多种哈希验证算法;支持可以基于固定IP地址建立IPSec隧道,支持通过域名方式建立IPSec隧道;支持IPSec报文的UDP封装模式,以保证IPSec能够穿越NAT;支持断线诊断DPD协议;2.工作机制:1)关键词:IPsec(IP Security):是IETF制定的三层隧道加密协议,它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。
它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AH(Authentication Header,认证头)、ESP(Encapsulating Security Payload,封装安全载荷)、IKE(Internet Key Exchange,因特网密钥交换)和用于网络认证及加密的一些算法等。
AH协议:可以同时提供数据完整性确认、数据来源确认、防重放等安全特性;AH常用摘要算法(单向Hash函数)MD5和SHA1实现该特性。
ESP协议:提可以同时提供数据完整性确认、数据加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性。
ESP保护的是IP包的载荷,不包括IP头部,所以ESP和NAT是不冲突的。
SA(安全联盟):是两个IPsec实体(主机或者网关)之间经过协商建立起来的一种协定,包括采用的协议、算法、加密等。
SA是构成IPsec的基础。
而建立SA需要2个阶段:第一阶段,协商创建一个通信信道(ISAKMP SA),并对该信道进行认证,为双方进一步的IKE 通信提供机密性、数据完整性以及数据源认证服务;第二阶段,使用已建立的ISAKMP SA 建立IPsec SA。