×××:
目标:低费用:DDN是每月约6000元/月,帧中继是每月约3000元/月,用低廉的远程连接几个园区网。
安全:
相关的这些技术统称:×××
1. 保证数据的机密性(让别人看不懂),方法:加密,暗文
2. 保证数据的完整性(让别人不能修改)
3. 源起证明。(身份认证)
1. 机密性:(对IP包的每个字节的加密)
a) 对称密码系统(pre-share):加、解密的KEY是一样的(这样的快一些)
i. des: key为56位(70年代的技术)
ii. aes: key为128位(测试阶段,还未实用)
iii. 3des: key为3个56位。(现在用的)
b) 公匙、私匙:(慢)
i. 公匙与私匙唯一对应(就好像存折的存折号和存折的密码的关系)
ii. RAS标准
2. 完整性:
用散列算法实现保证完整性。一个任意长的数据,用散列函数可算出64字节的数据标签来对应它。标签放在包里,收者对比是否一致。
散列算法标准:SHA
HMA :用key加密
MD5:不用key加密
Ipsec(IP security)技术:
1. AH:认证IP头(头是路由信息),其中TTL字段、FCS校验和不能加入。
可用于×××明、完整性2个方面。
2. ESP:对IP包的数据部分处理。
×××明、完整性、机密性3个方面都可引用。
SA(安全结合者):相连2个路由器,IPsec的参数协商统一后的结果。
一般会放在本地的SA的数据库中。
Ike(internet key 交换):是一组协议。
目的:2个路由器建立SA
包括:iSAkmp(internet SA key management priority)等等协议
Ipsec的指令配置:
1.
A:access-list 1 permit 10.1.1 .0 0.0.0.255
2. 保证Ike的SA,即保证协商的过程。
A:crypto isakmp policy 110 (110是Ike策略的序号)
Auth pre-share (对称密码系统,保证第一次Ike的过程安全)
Encrypto des
Hash MD5 (散列标准:MD5)
Lefttime 6000 (110只有6000秒的存活时间?)
Crypto iSAkmp key ciscokey ip 10.1.1 .2 (ciscokey 是key)
3. Ipsec的SA
Crypto Ipsec transfrom cisco esp-des AH-MD5 (cisco是Ipsec的策略名,key由Ike协商后决定的)
4. 用map组合以上步骤:
match address 1 (这个1是指访问列表1)
set peer 10.1.1 .2
set transfrom ciscokey (ciscokey对应第二步的那个key)
5. 在接口上应用
int s0
crypto map ciscomap
B上同样也要做这样的设定,只有第二、四步的那个IP变为10.1.1 .1
B: access-list 1 permit 10.1.1 .0 0.0.0.255
crypto isakmp policy 110 (110是Ike策略的序号)
Auth pre-share (对称密码系统,保证第一次Ike的过程安全)
Encrypto des
Hash MD5 (散列标准:MD5)
Lefttime 6000 (110只有6000秒的存活时间?)
Crypto iSAkmp key cisco ip 10.1.1 .1 (cisco 是key)
Crypto Ipsec transfrom cisco esp-des AH-MD5 (cisco是Ipsec的策略名,key由Ike协商后决定的)
match address 1 (这个1是指访问列表1)
set peer 10.1.1 .1
set transfrom ciscokey (ciscokey对应第二步的那个key)
int s0
crypto map ciscomap
