免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

簡介

在TCP/IP協(xié)議的開發(fā)早起，并沒有考慮到安全的因素，也沒預(yù)料到該協(xié)議會(huì)成為以后互聯(lián)網(wǎng)應(yīng)用最廣的協(xié)議。隨著網(wǎng)絡(luò)的開放、共享的信息帶來了便利的時(shí)候，也出現(xiàn)了病毒、***等各種網(wǎng)絡(luò)***，使得網(wǎng)絡(luò)存在大量不安全因素、在這種情況下，各種網(wǎng)絡(luò)安全技術(shù)應(yīng)運(yùn)而生。

安全的含義：1、源認(rèn)證 2、完整性 3、機(jī)密性 4、不可否認(rèn)性

早在古埃及的時(shí)候，就有加密出現(xiàn)了 ，在二戰(zhàn)期間也大量被應(yīng)用，只是原先的加密算法都是保密的，沒有人知道原理是什么，但是后來人們發(fā)現(xiàn)這種想法并不適應(yīng)現(xiàn)代的網(wǎng)絡(luò)，在你認(rèn)為這算法是安全的，可能早就被人破解了，所以 基于這種情況，后續(xù)的加密算法都處于公開的，任何人都可以獲取源代碼，一個(gè)密碼系統(tǒng)的成功與否的關(guān)鍵是密鑰的生成、分發(fā)、管理。保證密鑰的安全，現(xiàn)在hacker不再從算法本身找弱點(diǎn)，而是從密鑰中需找機(jī)會(huì)。
加密的類型：1、對(duì)稱加密：應(yīng)用最早，也是最成熟的算法，同一個(gè)密鑰來加解密。
優(yōu)點(diǎn)：加解密速度快 。 密文緊湊，加密前的數(shù)據(jù)與加密后的數(shù)據(jù)大小不會(huì)發(fā)生太大的改變
缺點(diǎn)：主要體現(xiàn)在密鑰的分發(fā)、存儲(chǔ)、管理對(duì)數(shù)字證書支持的缺點(diǎn) ，每使用一次對(duì)稱加密就需要產(chǎn)生一個(gè)新的密鑰，
而且在網(wǎng)絡(luò)上傳輸是非常困難的，如果使用者非常多，那么就會(huì)以指數(shù)增長。
算法：DES | 3DES | CAST | IDEA | AES 常用于IPsec中有DES 3DES AES

2、非對(duì)稱加密：同時(shí)生成公/私鑰，公鑰加密私鑰解，私鑰加密公鑰解，A與B同時(shí)有公/私鑰，把公鑰發(fā)到互聯(lián)網(wǎng)上這時(shí)
候， A如果想發(fā)送數(shù)據(jù)給B，那么利用B的公鑰把數(shù)據(jù)進(jìn)行加密得到一個(gè)Y 發(fā)給B，B同時(shí)可以用私鑰來進(jìn)
行解密，把數(shù)據(jù)還原成沒加密的狀態(tài)
優(yōu)點(diǎn)：需要的密鑰數(shù)量小、不存在密鑰分發(fā)問題。 支持?jǐn)?shù)字證書簽名。
缺點(diǎn)：加解密數(shù)度非常慢，并且處理大量數(shù)據(jù)后比源數(shù)據(jù)大好幾倍。
算法：Diffie-Hellman、RSA 、 ECC IPsec只應(yīng)用了DH算法
它們的共同任務(wù)就是保證數(shù)據(jù)在不安全的網(wǎng)絡(luò)情況下，保證數(shù)據(jù)的安全。對(duì)稱算法和非對(duì)稱算法都有各自的優(yōu)缺點(diǎn)，后來，人們把兩者的優(yōu)點(diǎn)結(jié)合起來，利用對(duì)稱算法來加密數(shù)據(jù)量大的數(shù)據(jù)，而非對(duì)稱密鑰由于加解密非常慢，用于加密對(duì)稱算法的密鑰。
例如：A有一個(gè)數(shù)據(jù)X發(fā)往B，首先用對(duì)稱算法隨即生成一個(gè)Key,加密數(shù)據(jù)后得到Y(jié)，這時(shí)候在用B公布在互聯(lián)網(wǎng)上的公鑰對(duì)這個(gè)Key進(jìn)行非對(duì)稱加密，得到一個(gè)H，這時(shí)候A把Y與H打包一起發(fā)送給B。B收到以后，用自己的私鑰把H解開得到之前的Key，然后對(duì)數(shù)據(jù)Y解開得到A原始的數(shù)據(jù)X，由于Key的大小是固定的，所以這樣處理的數(shù)度大大提高。

2、完整性

2、完整性：在傳輸數(shù)據(jù)的過程中，能確保數(shù)據(jù)信息沒有被修改過，這種算法叫做HASH，通常HASH只是一個(gè)通常，具體的算法有MD5與SHA1， SHA在研發(fā)的時(shí)候由于存在漏洞一直沒有被公布過。
算法：包括MD5與SHA-1
它們都具有：一個(gè)不等長的輸入，等到一個(gè)等長的輸出。MD5為128bit，SHA-1 160bit
雪崩效應(yīng)：只改動(dòng)一點(diǎn)點(diǎn)數(shù)據(jù)，輸出就會(huì)改變。 過程是不可逆的。
有些人習(xí)慣把MD5這些作為加密看待，但是它只是一個(gè)認(rèn)證的能力，保證數(shù)據(jù)沒有被修改過。

不可否認(rèn)性

3、不可否認(rèn)性：標(biāo)明發(fā)起者發(fā)送這個(gè)數(shù)據(jù)后，不能否認(rèn)不是它發(fā)送的。比如 現(xiàn)實(shí)中的指紋。
在我們常用的就是路由協(xié)議認(rèn)證了，在使用MD5認(rèn)證的時(shí)候，并不單單使用MD5 而是會(huì)設(shè)置一個(gè)key，這個(gè)Key只有建立路由協(xié)議之間的路由器才知道，每次路由更新會(huì)把更新的內(nèi)容與這個(gè)Key做HASH，然后把路由信息與這個(gè)HASH結(jié)果發(fā)送給對(duì)方，對(duì)方收到以后也用這路由信息加上共同的KEY做HASH，然后與收到的HASH做比較，相同就通過。 我們稱這個(gè)技術(shù)為HMAC，具有一定的不可否認(rèn)性和源認(rèn)證的特點(diǎn)。另外一個(gè)就是數(shù)字簽名和CA數(shù)字證書 都具有源認(rèn)證與不可否認(rèn)性。

IPsec協(xié)議

它并不是一個(gè)具體的協(xié)議，而是一個(gè)框架，由ESP(encapsulating security payload 封裝安全載荷) 、AH(Authentication Header 認(rèn)證頭協(xié)議)、IKE（Internet Key Exchange 因特網(wǎng)密鑰交換協(xié)議）組成。先說說幾個(gè)概念性的東西
SA：安全聯(lián)盟 、SA是兩個(gè)實(shí)體經(jīng)過協(xié)商建立起來一種協(xié)定，它們決定用來保護(hù)數(shù)據(jù)包安全的IPsec協(xié)議、連接模式、HMAC功能與加密算法、密鑰以及密鑰的有效時(shí)間存在時(shí)間等等。任何IPsec實(shí)施方案會(huì)構(gòu)建一個(gè)SA數(shù)據(jù)庫 （S A D B ） 由他們來維護(hù)IPsec協(xié)議 ，用來保障數(shù)據(jù)包安全的SA記錄
SA是單向的：如果兩個(gè)主機(jī)（A與B）正在通過ESP進(jìn)行安全通信，那么主機(jī)A就需要一個(gè)SA，即SA（OUT） 用來處理出去的數(shù)據(jù)包（加密）：另外還需要一個(gè)不同的SA，即SA（IN），用來處理進(jìn)入的數(shù)據(jù)包（解密）。主機(jī)A的SA（OUT） 和主機(jī)B的SA （in) 將共享相同的加密參數(shù)（比如密鑰）

SA還是“與協(xié)議相關(guān)”的。 每種協(xié)議都有一個(gè)SA 。如果主機(jī)A和B同時(shí)通過AH和ESP進(jìn)行安全通信，那么每個(gè)主機(jī)都會(huì)針對(duì)每一個(gè)協(xié)議來構(gòu)建一個(gè)獨(dú)立的SA。

SPD ：安全策略數(shù)據(jù)庫

SPD ：安全策略數(shù)據(jù)庫 （在cisco H3C上就是感興趣流量）
1、丟棄這個(gè)包。此時(shí)包不會(huì)得以處理，只是簡單的丟掉 （PC支持，思科上不支持）
2、繞過安全服務(wù)： 在這種情況下，IP層會(huì)在載荷內(nèi)增添IP頭，然后分發(fā)IP包。 （相當(dāng)于感興趣流量，不匹配的流量就正常走）
3、應(yīng)用安全服務(wù)：假如已經(jīng)建立了SA，就會(huì)指向SA的指針； 假如未建立SA,就會(huì)調(diào)用I K E，將這個(gè)SA建立起來。具體由策略來決定，如果規(guī)定IPsec應(yīng)用于數(shù)據(jù)包，那么在SA建立之前，數(shù)據(jù)包是不會(huì)被轉(zhuǎn)發(fā)的。 （匹配了感興趣流量)
比如我們PC也能使用IPsec來保證數(shù)據(jù)的安全性，比如 路由器syslog信息 發(fā)送到服務(wù)器上必須保證安全，可以通過IPsec來建立安全通道。 cisco設(shè)備與微軟的兼容性最好，因?yàn)槭褂玫腎KE由它們共同開發(fā)的。

這里主要介紹ESP協(xié)議，AH協(xié)議在IPv4的網(wǎng)絡(luò)并不適應(yīng)，因?yàn)樗鼤?huì)把整個(gè)IP頭部和數(shù)據(jù)部分做認(rèn)證，只針對(duì)IP數(shù)據(jù)部分的服務(wù)類型字段、標(biāo)志、分片偏移、TTL、校驗(yàn)和這些不會(huì)被加入認(rèn)證中，但是源目IP是被認(rèn)證的，而在IPv4的網(wǎng)絡(luò)中，存在大量的NAT與PAT設(shè)備存在，源地址被改變很常見，這樣很容易導(dǎo)致認(rèn)證的結(jié)果不匹配。 IPsec的功能原本屬于IPv6中，后來挪移到IPv4中使用，保證IPv4的網(wǎng)絡(luò)安全。

ESP只對(duì)Payload Data到Next Header做加密，認(rèn)證是SPI到Next Header，SPI、SEQ、IV也就是ESP的頭部信息，它是不被加密的。

1、SPI ： 由SA是單向發(fā)起的，會(huì)以明文HASH的方式把SPI發(fā)給對(duì)方，對(duì)方查自己SA的數(shù)據(jù)庫，匹配上的 就用SPI上下面的策略來解密 2、Sequence Number Field :每發(fā)一個(gè)數(shù)據(jù)包，序列號(hào)會(huì)增加一，如果對(duì)方收到相同的序列號(hào)，就會(huì)drop，防重放***
3、IV : 跟“快大小相等： 作為CBC加密
4、 payload Data：具體的數(shù)據(jù)部分
5、Padding：當(dāng)快不夠的時(shí)候，就需要這個(gè)來湊齊。(快大小不夠8字節(jié)的時(shí)候） Pad length ：快大小的長度
6、Next Header：告知下一個(gè)頭部是什么類型(加密數(shù)據(jù)的頭部) 1 for ICMP 4 for IP-In-IP encapsulation 6 for TCP 17 for UDP (除了4是Tunnel，其他都是傳輸模式）
7、Authentication Data:包含SPI到Next Header部分通過hash與HMAC算出來的值，但是只取前96位 因?yàn)橹挥?2個(gè)字節(jié)，也就是96位

ESP數(shù)據(jù)包的外出處理

1、傳輸模式：ESP跟進(jìn)在IP頭之后，插入一個(gè)外出的IP包中。IP頭的協(xié)議字段復(fù)制到ESP頭的”下一個(gè)頭“字段中（data的下一個(gè)字段），IP頭的協(xié)議字段置為ESP的值或者50。ESP的其余字段被填滿—SPI字段分配到的是來自S A D B的、用來對(duì)這個(gè)包進(jìn)行處理的特定SA的SPI；填充序列號(hào)字段的是序列中的下一個(gè)值。填充數(shù)據(jù)會(huì)被插入，其值被分配(這個(gè)值根據(jù)算法決定，比如DES必須滿足每個(gè)包8字節(jié))；同時(shí)分配的還有填充長度值（Pad自動(dòng)填充）。
2、tunnel模式：ESP頭是加在IP包前面。IPV4包，那么ESP頭的“下一個(gè)頭”字段分配為4.其他字段的填充方式在傳輸模式一樣。然后在ESP頭前面新增一個(gè)ip頭，對(duì)相應(yīng)的字段進(jìn)行填充—-源地址對(duì)應(yīng)與ESP那個(gè)設(shè)備本身：目標(biāo)地址取自于用來應(yīng)用ESP的SA (peer中設(shè)置的地址)：協(xié)議為50，其他字段參照本地的IP處理加以填充。
3、從恰當(dāng)?shù)腟A中選擇加密方式（加密算法） ，對(duì)包進(jìn)行加密（從載荷數(shù)據(jù)的開頭，一直到“下一個(gè)頭”字段）
4、重新計(jì)算位于ESP前面的IP頭的校驗(yàn)和 （因?yàn)閰f(xié)議號(hào)改變了）
5、把hash與IP頭的校驗(yàn)和字段放在尾部

ESP數(shù)據(jù)包的進(jìn)入處理

1、檢查處理這個(gè)包的SA是否在本地?cái)?shù)據(jù)庫中存在 （本地的SPID）
2、檢查序列號(hào)是否有效。
3、對(duì)數(shù)據(jù)包進(jìn)行完整性和來源進(jìn)行驗(yàn)證 (hash校驗(yàn)）
4、對(duì)數(shù)據(jù)包解密 （根據(jù)SPID下的策略）
5、對(duì)數(shù)據(jù)包進(jìn)行初步的有效性檢驗(yàn)
驗(yàn)證模式匹配 （根據(jù)Next Header中攜帶的是4就是Tunnel，其他的都為傳輸模式）
6、傳輸模式：就會(huì)轉(zhuǎn)送到一個(gè)高一級(jí)的協(xié)議—比如TCP或UDP—由它們對(duì)這個(gè)包進(jìn)行處理
隧道模式： 對(duì)解密后的IP，進(jìn)行路由查找，進(jìn)行轉(zhuǎn)發(fā)到它的目的 （也可能在同一個(gè)主機(jī)上）
mode：分為tunnel mode 與transport mode ，兩者的區(qū)別在于 前者會(huì)生成一個(gè)新的頭部，通常用于互聯(lián)網(wǎng)兩個(gè)私網(wǎng)之間連接，而transport mode用于局域網(wǎng)之類。

關(guān)于這些SA ESP mode，兩者建立安全隧道的時(shí)候 到底怎么去生成跟決定呢，那么就需要用到IPsec中IKE。
IKE負(fù)責(zé)建立和維護(hù)IKE SA和IPsec SA 主要包含1、對(duì)雙方進(jìn)行驗(yàn)證
2、交換公共密鑰，產(chǎn)生密鑰資源，管理密鑰
3 、協(xié)商協(xié)議參數(shù)（封裝，加密，認(rèn)證）

IKE的三個(gè)組成部分

1、SKEME:提供為認(rèn)證目的的使用公開的加密機(jī)制 （定義一種密鑰交換方式）
2、Oakley:提供在兩個(gè)IPsec對(duì)等體達(dá)成相同的加密密鑰的基本模式的機(jī)制（對(duì)多模式的支持，例如對(duì)新的加密技術(shù)，并沒有具體定義交換什么樣的信息。）
3、ISAKMP：定義了消息交換的體系結(jié)構(gòu)，包括兩個(gè)IPsec對(duì)等體分組形式和狀態(tài)改變 （定義封裝格式和協(xié)商包交換的方式）

IKE的建立會(huì)經(jīng)歷兩個(gè)階段，有三種模式。 通常使用的是主模式，積極模式只在EZ***或者遠(yuǎn)程***的情況下才被使用。
第一階段分 主模式：六個(gè)包交換。一去一回做3次交換，提供一個(gè)安全管理的連接，兩個(gè)對(duì)等體用于共享IPsec的信息。
第二階段協(xié)商IPsec SA對(duì)具體的流量進(jìn)行加密的方式 ，利用安全的通道建立具體數(shù)據(jù)加密的通道

我們可以把***看成一個(gè)業(yè)務(wù)，首先公司的老總需要見面、吃吃飯 認(rèn)識(shí)認(rèn)識(shí) (相當(dāng)于認(rèn)證，為第一階段) 。當(dāng)業(yè)務(wù)談妥了，定下了合同，而這份合同規(guī)定了對(duì)這些業(yè)務(wù)的具體操作(對(duì)數(shù)據(jù)的具體加密)
1.第一二個(gè)包協(xié)商的內(nèi)容為 ip地址 和 策略：
｛IP地址的內(nèi)容為對(duì)方所指定的peer，匹配了才進(jìn)行下去｝
｛策略的內(nèi)容 雙方定義的認(rèn)證方式 ｛pre-share | 證書} 加密策略 ｛des | 3des | aes| } 認(rèn)證｛ hash { MD5 | sha-1 }
{DH的內(nèi)容定義了g和P的大小 ｛group 1 | 2 | 5 ｝
｛key life-time {默認(rèn)為1天｝ 如果不匹配，就以雙方最小的為標(biāo)準(zhǔn)
協(xié)商過程：首先發(fā)送方把所有的策略都發(fā)給接收方 。 當(dāng)接收方與自己的策略做比較，匹配上的，就只發(fā)這個(gè)匹配上的給發(fā)送方。
這里的策略決定了第一階段的第五六個(gè)包與第二階段的快速模式在什么樣的***通道中進(jìn)行協(xié)商 （這些過程都是進(jìn)行加密與驗(yàn)證的）

2、第三四個(gè)包協(xié)商的內(nèi)容為：DH的交換 ｛把大A | B 和小 a | b 雙方進(jìn)行交換對(duì)比｝ 這個(gè)結(jié)果是共同協(xié)商的，是相等的，隨即的通過一系列算法得出三個(gè)SKEYID 產(chǎn)生密鑰
SKEYID_d =用于計(jì)算后續(xù)IPsec密鑰材料 (第二階段的密鑰都是通過這個(gè)來衍生的)
SKEYID_a=用于提供IKE消息的數(shù)據(jù)完整性和認(rèn)證
SKEYID_e=用于加密IKE消息

3、第五六個(gè)包協(xié)商的內(nèi)容為 ：用SKEYID的信息對(duì)pre-shared key 和雙方已知的(策略信息)SA Payload,Proposals Transforms,ID 進(jìn)行hash，得到的 結(jié)果一致，認(rèn)證就通過，這個(gè)過程是在SKEYID_E加密的情況下完成認(rèn)證。

第二階段 主要協(xié)商IPsec sa 對(duì)具體數(shù)據(jù)的加密方式.｛封裝策略 （ESP | AH ）}
｛加密策略 （des | 3des | aes ) }
{ hash策略 （md5 | sha-1 ) }
{ mode ( tunnel | transport_}
{ key lifetime ( 1小時(shí)） （這里的一個(gè)小時(shí)，只是說流量在一個(gè)小時(shí)內(nèi)沒有經(jīng)過，就斷開
｛流量 （ACL） 定義具體流量 ｝
這個(gè)模式為快速模式，這個(gè)過程是也加密的，也是根據(jù)IKE第一階段的第一次交換策略來決定
只有3個(gè)包，第一個(gè)包發(fā)送方當(dāng)有多個(gè)策略的時(shí)候，發(fā)送給接收方。接收方通過查找有匹配的策略的時(shí)候、會(huì)通過快速包的第二個(gè)包發(fā)給對(duì)方（只發(fā)送匹配的，說明雙方以這個(gè)策
略來進(jìn)行加密 。第三個(gè)包接收方會(huì)回復(fù)一個(gè)acknowledges information的信息，表示這個(gè)IPsec隧道是可以建立的。當(dāng)隧道建立了，會(huì)出現(xiàn)SPID（顯示為一堆阿拉伯?dāng)?shù)字）說明Ipsec已經(jīng)成功建立。 這個(gè)通道用于加密數(shù)據(jù)流量。

IPsec的框架： 1、加密 DES 3DES AES ……
2、驗(yàn)證 MD5 SHA-1 …….
3、封裝協(xié)議 ESP AH……..
4、模式 Transport tunnel ……….
5、密鑰有效期 3600 1800 ………..
IPsec提供了一個(gè)框架，并沒有規(guī)定使用什么加密算法與驗(yàn)證 封裝（只提供了加密 驗(yàn)證封裝協(xié)議等的參數(shù)選擇），它由兩個(gè)對(duì)等體之間的參數(shù)來協(xié)商，這種框架提供了靈活性與可擴(kuò)展性。 它提供了數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證、防重放***。

IPsec的連接：當(dāng)一個(gè)***沒建立的時(shí)候，一個(gè)數(shù)據(jù)包觸發(fā)了IPsec過程，那么IPsec會(huì)使用ISAKMP/IKE階段1來構(gòu)建一個(gè)安全的管理連接，這個(gè)管理連接可以讓兩個(gè)對(duì)等體可以彼此安全的通信，用于共享IPsec的信息（比如共享密鑰，驗(yàn)證信息的載荷）。也把第一階段成為管理連接。 通過這個(gè)安全的管理連接，兩個(gè)IPsec的對(duì)等體將協(xié)商用于構(gòu)建安全數(shù)據(jù)連接的參數(shù)，這個(gè)安全的數(shù)據(jù)連接用于傳輸用戶的數(shù)據(jù)，通常這個(gè)ISAKMP/IKE 第二階段也稱為數(shù)據(jù)連接。管理連接與數(shù)據(jù)連接都各自有一個(gè)生存期存在，確保在有人試圖破解你安全密鑰的情況下，密鑰信息在周期性的重新產(chǎn)生來保證安全性。如果數(shù)據(jù)一直在發(fā)送，那么會(huì)提前建立第二個(gè)通道，不會(huì)第一個(gè)生存期過了后，需要重新建立 而斷開了數(shù)據(jù)連接。

ISAKMP/IKE 使用的是UDP 500端口來建立管理連接， 數(shù)據(jù)加密是用ESP或者AH 來進(jìn)行。

也許有些人覺得配置***是一件繁瑣的事情，因?yàn)榕渲妹钐啵敲靼琢怂鼈兊膮f(xié)商過程和每個(gè)階段的任務(wù) ，配置起來思路是很清晰 也很簡單的。

cisco設(shè)備實(shí)現(xiàn)簡單的site-to-site ***

12.1.1.0/24 23.1.1.0/24
1.1.1.1 Center.1—————– .2 Internet .1 ——————–.2 Branch 3.3.3.3
在配置之前，首先要了解加密點(diǎn)與通訊點(diǎn)。 這里的通訊點(diǎn)為1.1.1.1 和3.3.3.3 兩個(gè)私網(wǎng)網(wǎng)段，而加密點(diǎn)則是出口的公網(wǎng)地址。
當(dāng)加密點(diǎn)不等于通訊點(diǎn)的時(shí)候，必須使用tunnel mode來生成一個(gè)新的頭部。 當(dāng)加密點(diǎn)等于通訊點(diǎn)的時(shí)候，可以使用transport mode，節(jié)省20個(gè)字節(jié)的IP頭部，后續(xù)的GRE Over *** 或者IPsec SVIT等

1、首先配置isakmp/ike 第一階段，通過之前的協(xié)商的過程了解 需要配置ip和策略

crypto isakmp policy 10
authentication pre-share | rsa-sig 基于什么的認(rèn)證，通常情況下使用預(yù)共享密鑰
encryption des | 3des | aes 加密算法
hash md5 | sha-1
group
lifetime 86400 默認(rèn)為1天，根據(jù)雙方最小值定
在cisco路由器中IKE第一階段有默認(rèn)策略，show crypto isakmp policy 查看

默認(rèn)策略：加密為DES Hash 為SHA-1 DH為group 1 lifetime 為一天 認(rèn)證用證書
所以我們最簡單的配置方法就是 authentication pre-share 只需要把認(rèn)證改為基于預(yù)共享密鑰 其余的都為默認(rèn)策略

crypto isakmp key 0 cisco address 23.1.1.2 這里定義的是IKE第一階段的共享密鑰，并且指定與誰建立

2、配置第二階段的策略。這里協(xié)商具體數(shù)據(jù)加密的策略

crypto ispec transform-set trans esp-des esp-md5-hmac 這里的trans是一個(gè)名字，可以設(shè)置多個(gè)名字調(diào)用與不同的IPsec中，采用ESP協(xié)議 用des加密 md5做認(rèn)證，當(dāng)輸入后會(huì)進(jìn)入子模式設(shè)置mode
mode tunnel | transport 默認(rèn)情況下不設(shè)置為tunnel模式，L2L是典型的tunnel模式

感興趣流量：access-list permit ip host 1.1.1.1 host 3.3.3.3 感興趣流量兩端必須配置為鏡像一樣，
比如 Branch就必須為 access-list permit ip host 3.3.3.3 host 1.1.1.1

3、調(diào)用第一二階段的策略

crypto map l2l 10 ipsec-isakmp ：
這里用一個(gè)map調(diào)用，cisco中存在很多的map。l2l是一個(gè)名字，后面跟的序列號(hào)，因?yàn)榻涌谙轮辉试S存在一個(gè)map，所以可以根據(jù)序列號(hào)來調(diào)用多個(gè)不同的***。 有些人很奇怪 在調(diào)用的時(shí)候并沒有調(diào)用第一階段的策略，其實(shí)ipsec-isakmp這關(guān)鍵字 已經(jīng)調(diào)用了第一階段的策略了，采用IKE來協(xié)商。 還有個(gè)ipsec-maunal 手動(dòng)模式，幾乎不使用
match address 100 ：調(diào)用感興趣流量
set peer 23.1.1.2 ：設(shè)置與哪個(gè)場點(diǎn)建立
set transform-set trans ：調(diào)用第二階段協(xié)商參數(shù)

4、接口下調(diào)用

interface f0/0
crymap map l2l
當(dāng)調(diào)用后會(huì)提示 *Mar 1 00:25:05.291: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
這里主要的是 在路由器上配置IPsec *** 默認(rèn)情況下 IKE是啟用的，而在ASA上配置默認(rèn)是關(guān)閉的，需要用crypto isakmp enable 開啟

當(dāng)測試的時(shí)候 一定要用感興趣流量來測試，比如Center端發(fā)起 需要 ping 3.3.3.3 source 1.1.1.1

經(jīng)常用的幾個(gè)查看命令

1、show crypto isakmp sa 查看第一階段的情況 顯示QM_IDLE 表示第一階段正常建立

2、shiw crypto ipsec sa ：顯示ipsec sa的詳細(xì)情況，包括SPI 感興趣流量 peer

仔細(xì)看會(huì)發(fā)現(xiàn)Center端的SPI Outbound 與Branch的 SPI Inbound 是相同的，反過來 Center的SPI inbound與Branch的Outbound是相同的。 當(dāng)一個(gè)數(shù)據(jù)包發(fā)送過來 通過SPI來匹配這個(gè)數(shù)據(jù)包用什么算法加解密 和認(rèn)證。

3、show crypto engine connections active 最直接查看IPsec的加解密情況

一個(gè)是IKE的sa情況 另外兩個(gè)分別對(duì)應(yīng)Outbound 與Inbound 加解密 這里為加密4個(gè)數(shù)據(jù)包 解密4個(gè)數(shù)據(jù)包

這里注意的是，有時(shí)候在做實(shí)驗(yàn)的時(shí)候，習(xí)慣用兩臺(tái)設(shè)備做***，覺得直連設(shè)備不需要做路由，但是配置下來后死活不通，檢查了半天配置也沒問題，這里在安全實(shí)驗(yàn)中一定要明白路由的重要性，這里做路由不是為了讓私網(wǎng)之間可達(dá)，而是為了讓去往對(duì)方私網(wǎng)走這個(gè)有map的接口，當(dāng)滿足了流量撞擊map的策略，觸發(fā)了***的建立。 在***中 通常有多個(gè)IP頭部，所以 最好的辦法是理解封裝結(jié)構(gòu) ，這對(duì)以后流量的放行和路由的處理是很關(guān)鍵的。

Center的配置

crypto isakmp policy 10
authentication pre-share
crypto isakmp key cisco address 23.1.1.2
!
!
crypto ipsec transform-set trans esp-des esp-md5-hmac
!
crypto map l2l 10 ipsec-isakmp
set peer 23.1.1.2
set transform-set trans
match address 100
!
interface Loopback0
ip address 1.1.1.1 255.255.255.255
!
interface FastEthernet0/0
ip address 12.1.1.1 255.255.255.0
duplex auto
speed auto
crypto map l2l
ip route 0.0.0.0 0.0.0.0 12.1.1.2
!
access-list 100 permit ip host 1.1.1.1 host 3.3.3.3
!

Branch配置

crypto isakmp policy 10
authentication pre-share
crypto isakmp key ccieh3c.taobao.com address 12.1.1.1
!
!
crypto ipsec transform-set trans esp-des esp-md5-hmac
!
crypto map l2l 10 ipsec-isakmp
set peer 12.1.1.1
set transform-set trans
match address 100
!
interface Loopback0
ip address 3.3.3.3 255.255.255.255
!
interface FastEthernet0/1
ip address 23.1.1.2 255.255.255.0
duplex auto
speed auto
crypto map l2l
!
ip route 0.0.0.0 0.0.0.0 23.1.1.1
access-list 100 permit ip host 3.3.3.3 host 1.1.1.1

H3C設(shè)備的site-to-site實(shí)現(xiàn)

在H3C設(shè)備中，第一階段和第二階段都有默認(rèn)策略，相對(duì)來說配置很簡單。
基本配置：1、ike peer 10 建立一個(gè)peer，設(shè)置預(yù)共享密鑰和地址
pre-shapre-key ccieh3c.taobao.com
remote-address 23.1.1.2
2、ike的策略采用default，默認(rèn)策略跟cisco的相同，除了認(rèn)證不同
3、ipsec proposal 10 創(chuàng)建一個(gè)IPSEC策略，采用默認(rèn)值封裝為esp 加密為des hash為MD5 mode為tunnel
4、acl number 3000 創(chuàng)建感興趣流量
rule 0 permit ip source 1.1.1.1 0 destionation 3.3.3.3 0
5、ipsec policy l2l 10 iskamp 調(diào)用這些策略
security acl 3000
ike peer 10
proposal 10
6、接口調(diào)用
ipsec policy l2l

幾個(gè)查看命令 display ike peer ：查看peer的設(shè)置
display ike proposal ：查看ike的default策略
display ipsec proposal ：查看ipsec的default策略
dispaly ike sa ：查看第一階段的情況
display ipsec sa：查看第二階段的情況 包括SPI 感興趣流量 peer
display ipsec statistics ：查看加解密的情況

本文轉(zhuǎn)載于公眾號(hào)：網(wǎng)絡(luò)之路博客