路由器上IPSEC ×××

一，×××的连接方式

 传输模式：只加密数据，优点传输速度较快，缺点不×××全。多用于局域网内部。

 隧道模式：加密整个三层数据添加新的ip包头，优点能安全灵活，缺点传输较慢。多用于跨广域网通信。

二，×××的类型

 站点到站点：指局域网之间的通信流量（L2L）。

 远程访问×××：单用户域×××网关之间的通信连接。

三，加密算法

 对称加密算法：使用同一密钥对，对数据加密，优点传输速度快，缺点不×××全。（算法有：DES 3DES AES）

 非对称加密算法：使用两个不同的密钥,公钥（加密）和私钥（解密）优点传输安全，缺点传输速度慢。（算法有：RSA DSA DH）

 DH算法：DH常用于实现Internet中的密钥交换（IKE）协议。通信双方交换公钥后，对方的公钥和自己的私钥用DH算法得出共享密钥.

四，数据报文的验证

 HMAC（散列消息验证）：让共享密钥产生——数字签名。用来验证数据的完整性和身份验证。（算法有：MD5，SHA） 

五，IPSec ××× 连接

 ISAKMP:定义消息格式和密钥交换协议。

 IKE:定义密钥的产生，共享和管理。

六，安全协议

 AH协议：验证IP包头 参数有 ah-md5-hmac ad-sha-hmac

 ESP协议:验证数据，加密数据 验证数据参数esp-md5-hmac等等 加密数据参数 esp-DES等等

六：配置命令

 配置策略序号

ROUTER(config)#crypto isakmp policy 序号

配置用于身份验证的加密算法

ROUTER(config-isakmp)encryption 加密算法（DES 3DES AES）

配置采用的HMAC功能

ROUTER(config-isakmp)hash HMAC算法(sha md5)

配置DH密钥组

ROUTER（config-isakmp）group DH组号（1，2，5）组号越大越安全

配置共享密钥

ROUTER(config)crypto isakmp key 0或6 （0密文 6密码）keystring address 对方公网ip

配置crypto ACL

ROUTER（config）access—list 序号或名称（99<序号<...忘了） deny(不被保护的流量)或permit（被保护的流量） ip 内网地址 子网 对方路由地址 子网

配置传输集

ROUTER(config)crypto ipsec transform-set 传输集名称 传输集类型 （AH或ESP）

配置crypto map

router（config）crypto map 名字 优先级 ipsec-isakmp

router（config-crypto-m）match address ACL名字或序号 （调用ACL）

router（config-crypto-m）set peer 对方IP 子网

应用到接口

router（config）int f0/0

router（config-if）crypto map 名字

双方都需要配置！~~~~~~~~·~~~~~~~

本人刚学全当复习有错的地方或理解错误的地方，希望大家看了提出来！