中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

IPSEC ×××的復習

發布時間:2020-03-29 21:44:02 來源:網絡 閱讀:474 作者:進擊的閃電 欄目:安全技術

IPSEC ×××的復習

拓撲圖如上,啟用R1 R2 R5三個路由器 ,R1的環回和R2的環回之間的訪問走×××,R1的環回192.168.1.0/24

R2的環回192.168.2.0/24

R1#show version

Cisco IOS Software, 7200 Software (C7200-ADVSECURITYK9-M), Version 12.4(11)T, RELEASE SOFTWARE (fc2)  路由器的版本標識中如果有k標志,則說明該路由器可以使用RSA DH 生成公鑰和私鑰

 

實驗結果

R1#show crypto isakmp sa  查看第一階段數據庫

IPv4 Crypto ISAKMP SA

dst             src             state          conn-id slot status

25.1.1.1        15.1.1.1        QM_IDLE           1001    0 ACTIVE

 

IPv6 Crypto ISAKMP SA

 

state 為QM的時候,代表隧道已經建立

 

R1#show crypto ipsec sa   查看第二階段數據庫

 

interface: Serial1/2

    Crypto map tag: openlab, local addr 15.1.1.1

 

   protected vrf: (none)

   local  ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)

   remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)

   current_peer 25.1.1.1 port 500

     PERMIT, flags={origin_is_acl,}

    #pkts encaps: 14, #pkts encrypt: 14, #pkts digest: 14

    #pkts decaps: 14, #pkts decrypt: 14, #pkts verify: 14

    #pkts compressed: 0, #pkts decompressed: 0

    #pkts not compressed: 0, #pkts compr. failed: 0

    #pkts not decompressed: 0, #pkts decompress failed: 0

    #send errors 1, #recv errors 0

 

     local crypto endpt.: 15.1.1.1, remote crypto endpt.: 25.1.1.1

     path mtu 1500, ip mtu 1500, ip mtu idb Serial1/2

     current outbound spi: 0xC39B730(205109040)

 

     inbound esp sas:

      spi: 0xC1A0D62B(3248543275)

        transform: esp-3des esp-md5-hmac ,

        in use settings ={Tunnel, }

        conn id: 1, flow_id: 1, crypto map: openlab

        sa timing: remaining key lifetime (k/sec): (4429687/1379)

        IV size: 8 bytes

        replay detection support: Y

        Status: ACTIVE

          

     inbound ah sas:

          

     inbound pcp sas:

          

     outbound esp sas:

      spi: 0xC39B730(205109040)

        transform: esp-3des esp-md5-hmac ,

        in use settings ={Tunnel, }

        conn id: 2, flow_id: 2, crypto map: openlab

        sa timing: remaining key lifetime (k/sec): (4429687/1377)

        IV size: 8 bytes

        replay detection support: Y

        Status: ACTIVE

          

     outbound ah sas:

          

     outbound pcp sas:

 

inbound和outbound的配置是一樣的

 

R1#ping 192.168.2.1 source 192.168.1.1

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:

Packet sent with a source address of 192.168.1.1

.!!!!(為是觸發更新,隧道的建立需要流量的觸發,所以第一個包會丟失)

Success rate is 80 percent (4/5), round-trip min/avg/max = 36/42/52 ms

R1#ping 192.168.2.1 source 192.168.1.1

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:

Packet sent with a source address of 192.168.1.1

!!!!!

 

配置要點

1. 第一階段的數據庫

若選擇的認證方式是共享密鑰還需要配置共享密鑰

2. 配置ACL

3. 配置第二階段數據庫

4. 最后使用一張MAP將以上配置組合在一起,并將map在接口上進行調用即可。

 

R1的配置

#show run

 

crypto isakmp policy 10   第一階段數據庫

 encr 3des

 hash md5

 authentication pre-share   認證方式選擇的是共享密鑰

 group 2  

 

crypto isakmp key 6 cisco123 address 25.1.1.1    設置共享密鑰  address寫的是對端的IP地址

       

crypto ipsec transform-set xxx esp-3des esp-md5-hmac 第二階段數據庫

       

crypto map openlab 10 ipsec-isakmp   匹配到同一張map中

 set peer 25.1.1.1

 set transform-set xxx

 match address 100

 

interface Loopback0

 ip address 192.168.1.1 255.255.255.0

     

interface Serial1/2

 ip address 15.1.1.1 255.255.255.0

 serial restart-delay 0

 crypto map openlab           調用在接口上

    

ip route 0.0.0.0 0.0.0.0 15.1.1.2

access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255   抓取走××× 的流量

 

R2的配置(和R1相同道理)

#show run

      

crypto isakmp policy 10

 encr 3des

 hash md5

 authentication pre-share

 group 2  

crypto isakmp key 6 cisco123 address 15.1.1.1

        

crypto ipsec transform-set xxx esp-3des esp-md5-hmac

        

crypto map openlab 10 ipsec-isakmp

 set peer 15.1.1.1

 set transform-set xxx

 match address 100

          

interface Loopback0

 ip address 192.168.2.1 255.255.255.0

       

interface Serial1/2

 ip address 25.1.1.1 255.255.255.0

 serial restart-delay 0

 crypto map openlab    

ip route 0.0.0.0 0.0.0.0 25.1.1.2

 

access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

 

R5的配置

interface Loopback0

 ip address 5.5.5.5 255.255.255.0

       

interface Serial1/0

 ip address 15.1.1.2 255.255.255.0

 serial restart-delay 0

      

interface Serial1/1

 ip address 25.1.1.2 255.255.255.0

 serial restart-delay 0

 

抓取R1的S1/2的流量

IPSEC ×××的復習

 

只能看見公有地址,發現三層之后就變成ESP,所有的流量都被加密了。

 

2018.11.6 復習IPSEC ×××

××× 的分類

LAN-TO-LAN 兩端的IP地址固定  

包括:GRE,ATM,MPLS ×××,Frame Relay(幀中繼)

Remote ××× 一端固定,另外一端不固定

包括:IPSec ×××,PPTP(Windows),L2TP+IPSEC(Windows),SSL ×××(主要用于網頁)

 

IPSec ×××

安全性

私密,完整,源認證、不可否認

 

IPSEC框架

加密 DES 3DES AES

驗證 MD5 SHA-1             完整性(校驗)

封裝協議 ESP(加密+校驗) AH(只進行校驗)

模式 transport(傳輸模式,從三層之后進行封裝)tunnel(隧道模式,從四層之后開始封裝)

密鑰有效期 3600s 1800s

 

密碼算法

對稱算法 DES 3DES AES(包括128 192 256)

非對稱算法 RSA DH

 

對稱算法加密:同一密鑰進行加密和解密  加密后數據變大較小

優點:速度快 安全 緊湊

缺點:明文傳輸密鑰可能會被劫持或者竊聽;密鑰數量多(根據參與者數量成平方增長,指數增長);數量多,管理存儲問題;不支持數字簽名和不可否認

 

非對稱算法加密:加密和解密用的不是同一個密鑰;僅僅用于密鑰簽名和數字簽名;加密后數據變大較多

優點:因為加密后數據大,所以更加安全;不必發送密鑰給接收者,不用安心密鑰會被中途劫持的問題;密鑰數量和參與者的數量一樣;不需要事先與參與者之間建立關系以進行交換密鑰;支持數字簽名和不可否認

缺點:加密速度慢;加密后數據長度大

 

2018.11.8

校驗

(只進行比較前96位)MD5    128位 不等長的輸入,等長的輸出  經常使用的校驗算法

SHA    160 256 384 512

 

散列函數的特點

固定大小、雪崩效應,單向,沖突避免(兩個不一樣的數據生成的值不一樣),建議MD5,流量實際傳遞的過程中僅僅只攜帶96位的校驗

 

流行的散列算法

MD5,SHA-1

 

ESP 可以對流量進行加密和校驗

AH 只能對流量進行校驗

 

IKE  建立×××的過程

CA證書機構 核實證書的真實性

 

2018年11月14日

IKE建立隧道,ESP加密,共享密鑰保證不可否認性

 

EASY  IP地址下放  1.5階段

兩個數據庫進行核實,兩邊的一致就會建立×××

iskmp數據庫  第一階段 明文發送

1)

A.數據包中含有的信息有:加密算法(默認DES)HASH算法(默認SHA) 身份認證方式 (數字簽名進或者共享密鑰) SA有效期 86400(一天更換一次)

 

B.  ** DH組號 1/2/5 2-1024位安全 只能使用DH算法

 

第一階段的數據庫是為了加密第二階段的數據庫

 

Iskmp sa第一階段 前四個包為明文,后兩個包為密文

 

1.2包 SA如果一樣,建立×××

3.4包 DH算法的公鑰互相交換,定義公鑰長度

5.6包 流量被加密,密鑰被DH加密。HASH,對端的IP地址,主機名稱,使用數字簽名(**共享密鑰)

 

Ipsec sa  第二階段

全部是加密的流量

**(1)ACL   (走××× 的流量)抓取流量,關注源IP和目標IP

**(2)P2 SA  第二階段數據庫

模式

超時時間

封裝協議

加密算法

HASH算法


向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

观塘区| 子洲县| 怀来县| 民权县| 达州市| 富民县| 沾化县| 益阳市| 阿尔山市| 中宁县| 贵定县| 嵊州市| 通渭县| 常山县| 宜宾县| 九龙城区| 镶黄旗| 汝阳县| 贡山| 磴口县| 莱州市| 兴业县| 商洛市| 西畴县| 崇义县| 鸡西市| 凤城市| 疏附县| 贵州省| 南昌市| 太仓市| 江孜县| 福鼎市| 渭源县| 枞阳县| 玉龙| 通州市| 会宁县| 福泉市| 西城区| 芦溪县|