cisco *** 设置详解

爱是王道

　　1：配置IKE
　　router(config)# crypto isakmp enable       #启用IKE(默认是启动的)
　　router(config)# crypto isakmp policy 100     #建立IKE策略,优先级为100
　　router(config-isakmp)# authentication pre-share #使用预共享的密码进行身份验证
　　router(config-isakmp)# encryption des    #使用des加密方式
　　router(config-isakmp)# group 1    #指定密钥位数，group 2安全性更高，但更耗cpu
　　router(config-isakmp)# hash md5    #指定hash算法为MD5(其他方式：sha，rsa)
　　router(config-isakmp)# lifetime 86400 #指定SA有效期时间。默认86400秒，两端要一致
　　以上配置可通过show crypto isakmp policy显示。***两端路由器的上述配置要完全一样。
　　2：配置Keys
　　router(config)# crypto isakmp key cisco1122 address 10.0.0.2  --(设置要使用的预共享密钥和指定***另一端路由器的IP地址)
　　3：配置IPSEC
　　router(config)# crypto ipsec transform-set abc esp-des   esp-md5-hmac   配置IPSec交换集 abc这个名字可以随便取，两端的名字也可不一样，但其他参数要一致。
　　router(config)# crypto ipsec security-association lifetime 86400   ipsec安全关联存活期，也可不配置，在下面的map里指定即可
　　router(config)# access-list 110 permit tcp 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
　　router(config)# access-list 110 permit tcp 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
　　4.配置IPSEC加密映射
　　router(config)# crypto map mymap 100 ipsec-isakmp   创建加密图
　　router(config-crypto-map)# match address 110 用ACL来定义加密的通信
　　router(config-crypto-map)# set peer 10.0.0.2 标识对方路由器IP地址
　　router(config-crypto-map)# set transform-set abc   指定加密图使用的IPSEC交换集
　　router(config-crypto-map)# set security-association lifetime 86400
　　router(config-crypto-map)# set pfs group 1
　　5.应用加密图到接口
　　router(config)# interface ethernet0/1
　　router(config-if)# crypto map mamap
　　相关知识点：
　　对称加密或私有密钥加密：加密解密使用相同的私钥
　　DES--数据加密标准 data encryption standard
　　3DES--3倍数据加密标准 triple data encryption standard
　　AES--高级加密标准 advanced encryption standard
　　一些技术提供验证：
　　MAC--消息验证码   message authentication code
　　HMAC--散列消息验证码   hash-based message authentication code
　　MD5和SHA是提供验证的散列函数
　　对称加密被用于大容量数据，因为非对称加密站用大量cpu资源
　　非对称或公共密钥加密：
　　RSA rivest-shamir-adelman
　　用公钥加密，私钥解密。公钥是公开的，但只有私钥的拥有者才能解密
　　两个散列常用算法：
　　HMAC-MD5 使用128位的共享私有密钥
　　HMAC-SHA-I   使用160位的私有密钥
　　ESP协议：用来提供机密性，数据源验证，无连接完整性和反重放服务，并且通过防止流量分析来限制流量的机密性，这些服务以来于SA建立和实现时的选择。
　　加密是有DES或3DES算法完成。可选的验证和数据完整性由HMAC，keyed SHA-I或MD5提供
　　IKE--internet密钥交换：他提供IPSEC对等体验证，协商IPSEC密钥和协商IPSEC安全关联
　　实现IKE的组件
　　1：des，3des 用来加密的方式
　　2：Diffie-Hellman   基于公共密钥的加密协议允许对方在不安全的信道上建立公共密钥，在IKE中被用来建立会话密钥。group 1表示768位，group 2表示1024位
　　3：MD5，SHA--验证数据包的散列算法。RAS签名--基于公钥加密系统