CCIE学习笔记

茅屋为秋风

DM VPN
IKE:Internet Key Exchange
用来协商key，传递保存key的相关信息
ESP：Encapsulating Secure Payload
封装安全负载
AH:Authentication Header
ESP有加密功能，AH没有

IKE
Phase 1:     建立隧道
--authentication the peers             //验证对等体
--neogotiate a bidirectional SA        //协商双向安全关联       SA:安全关联
--Main mode or aggressive mode        //主模式，积极模式
                       
Phase 1.5:   扩展验证 remote VPN
--Xauth
--Mode config

Phase 2:     
--IPsec SAs/SPIs   //
--Quick mode

ESP: IP protocol number 50
AH: IPprotocol number 51          //udp ISAKMP 500 ,在acl里放行， udp 4500



MD5 128-bit output
SHA-1 160-bit output

Symmetric algorithm: DES,3DES,AES  //对称   加密和解锁同一个加密密码
Asymetric algorithm: RSA                 //非对称  加密和解密密码不同

step 1
Site-to-Site IPsec VPN Operation
1.Host A sends interesting traffic to Host B
2.Routers A and B neogotiate an IKE Phase 1 session.
3.Routers A and B neogotiate an IKE Phase 2 session.
4.Information is exchanged via the IPsec tunnel.
5.The IPsec tunnel is terminated.
访问控制列表两边要严格匹配

step 2
Neogotiate the policy   [number]
          IKE Policy
          DES
          MD5
          pre-share
          DH1
          lifetime
Diffie-Hellman exchange
Verify the peer identity


crypto map cisco 1 ipsec-isakmp dynamic cisco



access-list 100 permit ip 1.1.1.1 0.0.0.0 3.3.3.3 0.0.0.0

IPsec profile
profile快速方法建立VPN
crypto ipsec profile [JC]
     set transform-set ccna

int Tunnel0
     tunnel protection ipsec profile [JC]