思科IPSec基本命令

思科IPSec基本命令

思科IPSec基本命令汇总 “Internet 协议安全性 (IPSec)”是一种开放标准的框架结构，通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。那么思科怎么配置IPSec呢?配置命令如何?下面跟我一起来看看吧! 一、IPSec一些基本命令。

R1(config)#crypto ? dynamic-map Specify a dynamic crypto map template //创建或修改一个动态加密映射表 ipsec Configure IPSEC policy //创建IPSec安全策略 isakmp Configure ISAKMP policy //创建IKE策略 key Long term key operations //为路由器的SSH加密会话产生加密密钥。

后面接数值，是key modulus size，单位为bit map Enter a crypto map //创建或修改一个普通加密映射表 Router(config)#crypto dynamic-map ? WORD Dynamic crypto map template tag //WORD为动态加密映射表名 Router(config)#crypto ipsec ? security-association Security association parameters // ipsec安全关联存活期，也可不配置，在map里指定即可 transform-set Define transform and settings //定义一个ipsec变换集合(安全协议和算法的一个可行组合) Router(config)#crypto isakmp ? client Set client configuration policy //建立地址池 enable Enable ISAKMP //启动IKE策略，默认是启动的 key Set pre-shared key for remote peer //设置密钥 policy Set policy for an ISAKMP protection suite //设置IKE策略的优先级 Router(config)#crypto key ? generate Generate new keys //生成新的密钥 zeroize Remove keys //移除密钥 Router(config)#crypto map ? WORD Crypto map tag //WORD为map表名 二、一些重要命令。 Router(config)#crypto isakmp policy ? <1-10000> Priority of protection suite //设置IKE策略，policy后面跟1-10000的数字，这些数字代表策略的优先级。 Router(config)#crypto isakmp policy 100//进入IKE策略配置模式，以便做下面的配置 Router(config-isakmp)#encryption ?//设置采用的加密方式，有以下三种 3des Three key triple DES aes AES - Advanced Encryption Standard des DES - Data Encryption Standard (56 bit keys). Router(config-isakmp)#hash ? //采用的散列算法，MD5为160位，sha为128位。 md5 Message Digest 5 sha Secure Hash Standard Router(config-isakmp)#authentication pre-share//采用预共享密钥的认证方式 Router(config-isakmp)#group ?//指定密钥的位数，越往下安全性越高，但加密速度越慢 1 Diffie-Hellman group 1 2 Diffie-Hellman group 2 5 Diffie-Hellman group 5 Router(config-isakmp)#lifetime ? //指定安全关联生存期，为60-86400秒 <60-86400> lifetime in seconds Router(config)#crypto isakmp key *** address XXX.XXX.XXX.XXX //设置IKE交换的密钥，***表示密钥组成，XXX.XXX.XXX.XXX表示对方的IP地址 Router(config)#crypto ipsec transform-set zx ? //设置IPsec交换集，设置加密方式和认证方式，zx是交换集名称，可以自己设置，两端的名字也可不一样，但其他参数要一致。

ah-md5-hmac AH-HMAC-MD5 transform ah-sha-hmac AH-HMAC-SHA transform esp-3des ESP transform using 3DES(EDE) cipher (168 bits) esp-aes ESP transform using AES cipher esp-des ESP transform using DES cipher (56 bits) esp-md5-hmac ESP transform using HMAC-MD5 auth esp-sha-hmac ESP transform using HMAC-SHA auth 例：Router(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac Router(config)#crypto map map_zx 100 ipsec-isakmp //建立加密映射表，zx为表名，可以自己定义，100为优先级(可选范围1-65535)，如果有多个表，数字越小的越优先工作。 Router(config-crypto-map)#match address ?//用ACL来定义加密的通信 <100-199> IP access-list number WORD Access-list name Router(config-crypto-map)#set ? peer Allowed Encryption/Decryption peer.//标识对方路由器IP地址 pfs Specify pfs settings//指定上面定义的密钥长度，即group security-association Security association parameters//指定安全关联的生存期 transform-set Specify list of transform sets in priority order //指定加密图使用的IPSEC交换集 router(config-if)# crypto map zx //进入路由器的指定接口，应用加密图到接口，zx为加密图名。 三、一个配置实验。

实验拓扑图： 1.R1上的配置。 Router>enable Router#config terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname R1 //配置IKE策略 R1(config)#crypto isakmp enable R1(config)#crypto isakmp policy 100 R1(config-isakmp)#encryption des R1(config-isakmp)#hash md5 R1(config-isakmp)#authentication pre-share R1(config-isakmp)#group 1 R1(config-isakmp)#lifetime 86400 R1(config-isakmp)#exit //配置IKE密钥 R1(config)#crypto isakmp key 123456 address 10.1.1.2 //创建IPSec交换集 R1(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac //创建映射加密图 R1(config)#crypto map zx_map 100 ipsec-isakmp R1(config-crypto-map)#match address 111 R1(config-crypto-map)#set peer 10.1.1.2 R1(config-crypto-map)#set transform-set zx R1(config-crypto-map)#set security-association lifetime seconds 86400 R1(config-crypto-map)#set pfs group1 R1(config-crypto-map)#exit //配置ACL R1(config)#access-list 111 permit ip 192.168.1.10 0.0.0.255 192.168.2.10 0.0.0.255 //应用加密图到接口 R1(config)#interface s1/0 R1(config-if)#crypto map zx_map 2.R2上的`配置。 与R1的配置基本相同，只需要更改下面几条命令： R1(config)#crypto isakmp key 123456 address 10.1.1.1 R1(config-crypto-map)#set peer 10.1.1.1 R1(config)#access-list 111 permit ip 192.168.2.10 0.0.0.255 192.168.1.10 0.0.0.255 3.实验调试。

在R1和R2上分别使用下面的命令，查看配置信息。 R1#show crypto ipsec ? sa IPSEC SA table transform-set Crypto transform sets R1#show crypto isakmp ? policy Show ISAKMP protection suite policy sa Show ISAKMP Security Associations 四、相关知识点。 对称加密或私有密钥加密：加密解密使用相同的私钥 DES--数据加密标准 data encryption standard 3DES--3倍数据加密标准 triple data encryption standard AES--高级加密标准 advanced encryption standard 一些技术提供验证： MAC--消息验证码 message authentication code HMAC--散列消息验证码 hash-based message authentication code MD5和SHA是提供验证的散列函数 对称加密被用于大容量数据，因为非对称加密站用大量cpu资源 非对称或公共密钥加密： RSA rivest-shamir-adelman 用公钥加密，私钥解密。

公钥是公开的，但只有私钥的拥有者才能解密 两个散列常用算法： HMAC-MD5 使用128位的共享私有密钥 HMAC-SHA-I 使用160位的私有密钥 ESP协议：用来提供机密性，数据源验证，无连接完整性和反重放服务，并且通过防止流量分析来限制流量的机密性，这些服务以来于SA建立和实现时的选择。 加密是有DES或3DES算法完成。可选的验证和数据完整性由HMAC，keyed SHA-I或MD5提供 IKE--internet密钥交换：他提供IPSEC对等体验证，协商IPSEC密钥和协商IPSEC安全关联 实现IKE的组件 1：des，3des 用来加密的方式 2：Diffie-Hellman 基于公共密钥的加密协议允许对方在不安全的信道上建立公共密钥，在IKE中被用来建立会话密钥。group 1表示768位，group 2表示1024位 3：MD5，SHA--验证数据包的散列算法。

如何使用 IPSec

安装CISCO IPSEC 客户端1解压下载的安装包后,点击vpn-client-2.2.2-release.exe启动安装程序,只需在第二步时把默认的professional改为standard,其它部分只需一直按next即可.包里一共有三个文件,sites目录包含卓越VPN配置文件,bat结尾的为脚本文件，用来启动ipsec客户端的，可以把它拷到桌面便于启用。 CISCO IPSEC配置文件2输入VPN用户名和密码右击bat结尾的脚本文件,选择编辑。

IPsec是什么？IPsec的实现方法和作用有哪些？

首先我们来了解一下IPsec是什么？ IPsec ---（英语：Internet Protocol Security，缩写为IPsec），是一个协议包，通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族（一些相互关联的协议的集合）。 实际上IPsec是一整套协议包而不只是一个单独的协议， 这一点对于我们认识IPSec是很重要的。

IPsec协议把多种安全技术集合到一起，从而建立起一个安全、可靠的隧道。

在IPsec安全体系结构中包括了3个最基本的协议：AH（Authentication Header）协议为IP包提供信息源验证和完整性保证；ESP（Encapsulating Security Payload）协议提供加密保证；密钥管理协议（ISAKMP）提供双方交流时的共享安全信息。ESP和AH协议都有相关的一系列支持文件，规定了加密和认证的算法。 IPsec的定义我们说完了，那么接下来我们就来了解一下IPsec的实现方法和作用有哪些吧。 VPN的定义非常广泛，因此，目前市场上出现了很多的VPN产品，实现VPN的方法也有很多种。

但就计算机网络来说，其实现VPN所选用的层次，可以有网络层VPN、数据链路层VPN等。网络层VPN多采用IP协议，而数据链路层VPN则由ATM或帧中继虚电路来实现。随着技术的发展，通过IP层实现VPN已成为目前业界主流。

IP层VPN的实现方法包括: 控制路由选择、隧道和网络层封装等。所谓控制路由选择也就是路由过滤，通过控制路由的传递，来限制对内部信息的访问。这种方法实际上属于访问控制一类，并由此实现公共网络上的专有服务。

隧道技术在VPN的实现上得到了比较广泛的应用。首先，一个IP隧道可以调整为多种形式的有效负载。远程用户能够透明地拨号上网来访问企业的IP、IPX或AppleTalk网络。

第二，隧道能够同时调整多个用户或多个不同形式的有效负载。这可以利用封装技术来实现。第三，使用隧道技术访问企业内联网时，企业内联网不会向Internet报告它的IP网络地址。 目前，伴随技术的发展，网络层封装正在成为VPN实现技术的主流。

其事实标准IPsec已由IETF在1998年正式制定发布，并成为了开放性IP安全标准，是当前实现VPN的基础，已经相当成熟可靠。

以上就是关于思科IPSec基本命令全部的内容，如果了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！