Red de conocimiento informático - Conocimiento del nombre de dominio - Comandos básicos de Cisco IPSec

Comandos básicos de Cisco IPSec

1. Algunos comandos básicos de IPSec.

R1(config)#crypto ?

mapa dinámico Especificar una plantilla de mapa criptográfico dinámico

//Crear o modificar una plantilla de mapa criptográfico dinámico

ipsec Configurar política IPSEC

//Crear política de seguridad IPSec

isakmp Configurar política ISAKMP

//Crear política IKE

Clave Operaciones de clave a largo plazo

//Generar claves de cifrado para la sesión cifrada SSH del enrutador. Seguido de un valor, es el tamaño del módulo de clave, la unidad es bit

Mapa Ingresar un mapa criptográfico

//Crear o modificar una tabla de mapas de cifrado común

Router( config)#cryptodynamic-map

WORD Etiqueta de plantilla de mapa criptográfico dinámico

//WORD es el nombre de la tabla de mapas criptográficos dinámicos

Router(config)#crypto ipsec?

security-association Parámetros de asociación de seguridad

// duración de la asociación de seguridad ipsec, o no configurada, solo especifíquela en el mapa

transform-set Definir transformación y configuración

//Definir un conjunto de transformación ipsec (una combinación factible de protocolos y algoritmos de seguridad)

Router(config)#crypto isakmp

client Establecer política de configuración del cliente

//Crear un grupo de direcciones

enable Habilitar ISAKMP

//Habilitar política IKE, que está habilitada de forma predeterminada

key Establecer clave precompartida para un par remoto

//Establecer la clave

política Establecer política para una suite de protección ISAKMP

//Establecer la política IKE Prioridad

Router(config)#crypto key

generar Generar nuevas claves

//Generar nuevas claves

zeroize Quitar claves

//Quitar claves

Router(config)#crypto map

WORD Etiqueta de mapa criptográfico

// WORD es el nombre de la tabla del mapa

2. Algunos comandos importantes.

Router(config)#crypto isakmp Policy ?

lt; 1-10000gt; Prioridad del conjunto de protección

//Establece la política IKE, seguida de la política. 1 -10000 números, estos números representan la prioridad de la política.

Router(config)#crypto isakmp Policy 100//Ingrese al modo de configuración de política IKE para realizar la siguiente configuración

Router(config-isakmp)#encryption ?//Establezca el ' adoptado Hay tres métodos de cifrado

3des Triple clave DES

aes AES - Estándar de cifrado avanzado

des DES - Estándar de cifrado de datos (claves de 56 bits <). /p>

Router(config-isakmp)#hash ? //El algoritmo hash utilizado, MD5 es de 160 bits y sha es de 128 bits.

md5 Message Digest 5

sha Secure Hash Standard

Router(config-isakmp)#authentication pre-share//Usar método de autenticación de clave precompartida

Router(config-isakmp)#group ?//Especifique el número de dígitos en la clave. Cuanto menor sea el número, mayor será la seguridad, pero más lenta será la velocidad de cifrado.

1 Diffie-Hellman grupo 1

2 Diffie-Hellman grupo 2

5 Diffie-Hellman grupo 5

Router(config-isakmp)#lifetime ? Especifique la vida útil de la asociación de seguridad, 60-86400 segundos

lt; 60-86400gt; vida útil en segundos

Router(config)#crypto isakmp key *** dirección XXX.XXX.XXX. XXX

//Establece la clave para el intercambio IKE, *** indica la composición de la clave, XXX.XXX.XXX.XXX indica la dirección IP de la otra parte

Router(config)# crypto ipsec transform-set zx

// Configure el conjunto de intercambio IPsec, establezca el método de cifrado y el método de autenticación. zx es el nombre del conjunto de intercambio, que puede configurar usted mismo. también ser diferentes, pero otros parámetros deben ser consistentes.

transformación ah-md5-hmac AH-HMAC-MD5

transformación ah-sha-hmac AH-HMAC-SHA

transformación esp-3des ESP usando 3DES (EDE) cifrado (168 bits)

transformación esp-aes ESP usando cifrado AES

transformación esp-des ESP usando cifrado DES (56 bits)

esp -md5-hmac Transformación ESP usando autenticación HMAC-MD5

Transformación esp-sha-hmac ESP usando autenticación HMAC-SHA

Ejemplo: Router(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac

Router(config)#crypto map map_zx 100 ipsec-isakmp

//Crea una tabla de mapeo de cifrado, zx es el nombre de la tabla, puedes defínalo usted mismo, 100 es la prioridad (rango opcional 1-65535). Si hay varias tablas, cuanto menor sea el número, mayor será la prioridad.

Router(config-crypto-map)#match address ?//Usa ACL para definir comunicación cifrada

lt 100-199gt; número de lista de acceso IP

 WORD Nombre de la lista de acceso

Router(config-crypto-map)#set?

peer Permitido cifrado/descifrado peer.//Identifique la dirección IP del otro enrutador

pfs Especificar la configuración de pfs//Especificar la longitud de la clave definida anteriormente, es decir, grupo

asociación de seguridad Parámetros de asociación de seguridad//Especificar la vida útil de la asociación de seguridad

transform- set Especifica la lista de conjuntos de transformación en orden de prioridad

//Especifica el conjunto de intercambio IPSEC utilizado por el mapa de cifrado

Router(config-if)# crypto map zx

//Ingrese la interfaz especificada del enrutador y aplique la imagen cifrada a la interfaz zx es el nombre de la imagen cifrada.

3. Un experimento de configuración.

Topología experimental:

1. Configuración en R1.

Routergt; enable

Router#config terminal

Ingrese los comandos de configuración, uno por línea.Termine con CNTL/Z. (config)#hostname R1

//Configurar la política IKE

R1(config)#crypto isakmp enable

R1(config)#crypto isakmp política 100

R1(config-isakmp)#encryption des

R1(config-isakmp)#hash md5

R1(config-isakmp)#autenticación precompartida

R1(config-isakmp)#grupo 1

R1(config-isakmp)#vida útil 86400

R1(config-isakmp)#salida

//Configurar clave IKE

R1(config)#crypto clave isakmp 123456 dirección 10.1.1.2

//Crear conjunto de intercambio IPSec

R1 ( config)#crypto ipsec transform-set zx esp-des esp-md5-hmac

//Crear mapa de cifrado de mapeo

R1(config)#crypto map zx_map 100 ipsec-isakmp

R1(config-crypto-map)#match dirección 111

R1(config-crypto-map)#set peer 10.1.1.2

R1(config - crypto-map)#set transform-set zx

R1(config-crypto-map)#set segundos de duración de la asociación de seguridad 86400

R1(config-crypto-map)# set pfs group1

R1(config-crypto-map)#exit

//Configurar ACL

R1(config)#access-list 111 permit ip 192.168 . 1.10 0.0.0.255 192.168.2.10 0.0.0.255

//Aplicar el mapa de cifrado a la interfaz

R1(config)#interface s1/0

R1 (config-if)#crypto map zx_map

 2.Configuración en R2.

La configuración es básicamente la misma que la de R1. Solo necesitas cambiar los siguientes comandos:

R1(config)#crypto isakmp key 123456 dirección 10.1.1.1

R1 (config-crypto-map)#set peer 10.1.1.1

R1(config)#access-list 111 permitir ip 192.168.2.10 0.0.0.255 192.168.1.10 0.0.0.255

3. Depuración experimental.

Utilice los siguientes comandos en R1 y R2 respectivamente para ver la información de configuración.

R1#show crypto ipsec ?

sa tabla IPSEC SA

transform-set Conjuntos de transformación criptográfica

R1#show crypto isakmp ?

policy Mostrar la política del conjunto de protección ISAKMP

sa Mostrar asociaciones de seguridad ISAKMP

4. Puntos de conocimiento relacionados.

Cifrado simétrico o cifrado de clave privada: el cifrado y el descifrado utilizan la misma clave privada

DES--estándar de cifrado de datos estándar de cifrado de datos

3DES--3 veces Estándar de cifrado de datos Estándar de cifrado de datos triple

AES: estándar de cifrado avanzado

Algunas tecnologías proporcionan verificación:

MAC: código de autenticación de mensajes

HMAC: código de autenticación de mensajes basado en hash

MD5 y SHA son funciones hash que proporcionan verificación

Se utiliza cifrado simétrico para datos de gran capacidad, porque las estaciones de cifrado asimétrico utilizan un muchos recursos de CPU

Cifrado de clave pública o asimétrica:

RSA rivest-shamir-adelman

Utilice clave pública para cifrar y clave privada para descifrar. La clave pública es pública, pero sólo el propietario de la clave privada puede descifrarla

Dos algoritmos de hash comunes:

HMAC-MD5 utiliza una clave privada compartida de 128 bits

HMAC-SHA-I utiliza una clave privada de 160 bits

Protocolo ESP: se utiliza para proporcionar confidencialidad, autenticación de fuente de datos, integridad sin conexión y servicios anti-reproducción, y estos servicios dependen de las elecciones realizadas. durante el establecimiento e implementación de SA para limitar la confidencialidad del tráfico evitando el análisis del tráfico.

El cifrado se completa mediante el algoritmo DES o 3DES.

La autenticación opcional y la integridad de los datos son proporcionadas por HMAC, SHA-I con clave o MD5

IKE: intercambio de claves de Internet: proporciona autenticación de pares IPSEC, negocia claves IPSEC y asociaciones de seguridad IPSEC

Componentes que implementan IKE

1: des, 3des utilizados para el cifrado

2: Protocolo de cifrado Diffie-Hellman basado en claves públicas Permite que la otra parte establezca una clave pública en un entorno no seguro canal, que se utiliza para establecer una clave de sesión en IKE. El grupo 1 representa 768 bits, el grupo 2 representa 1024 bits

 3: MD5, SHA: el algoritmo hash para verificar paquetes de datos. Firma RAS: basada en un sistema de cifrado de clave pública

上篇: La otra cara de la sonrisa 600 materiales de composición 下篇: Dirección de la tienda de chaquetas de plumas Bosideng en la ciudad de Tianhe, Guangzhou

Artículos populares