首页 > 其他分享 >Cisco IPsec

Cisco IPsec

时间:2023-08-01 16:37:16浏览次数:47  
标签:Cisco IP 安全 IPsec 加密 VPN 加密算法 IPSec

加密算法------保证数据私密性

对称加密算法:DES 3DES ASE RC4 用来保障业务 数据的安全 私密

加密实际数据

非对称加密算法: RSA(SSH) DH 用来保障秘钥的传输安全 私密

加密公钥私钥



单向散列函数------hash 校验数据完整性





1.私密性:加密数据包,防止非法用户截获并且获取数据包内容


2.完整性:确保数据包在传输过程中不会被非法用户篡改


3.源认证:确保数据包发送者的真实身份是否为合法用户


4.不可否认性:发送者不可否认曾经发送过该数据



ip snooping 欺骗 基于cef表防护

实验:黑客控制僵尸P攻击Server

Cisco IPsec_加密算法



此时模拟的是黑客攻击,user,server,hacker都有一条默认路由指向ISP,这个时候黑客自己起一个环回口lo 0 环回口的地址是user的本地地址,这个时候hacker用user这个地址pingserver


Cisco IPsec_VPN_02

Cisco IPsec_IP_03

Cisco IPsec_加密算法_04

user和server开启debug ip icmp此时可以看到虽然黑客没有ping通但是user和server已经产生包了,这就是ip snooping欺骗攻击



SSLVPN----数字证书---RSA-----私钥加密 公钥解密





DH----IPsec VPN 一定会用到

DH是用来计算对称加密算法的秘钥

RSA-----原认证----数字签名



ipsec vpn 是基于ip协议的

优点:与物理层和数据链路层无关,与传输层应用层无关,与网络规模无关,容易扩展,便宜不要钱


组成部分:

IKE:互联网秘钥交换


AH:认证头部


ESP:封装安全协议




预共享秘钥就是自己设置的密码





阶段一:加密定义SA 完整性和私密性

阶段二:定义业务数据的完整性和私密性



IPsec VPN:IPsec是个协议簇

指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务

IPSec VPN应用场景

企业总部与分支内使用的都是私网IP,私网IP之间无法通过Internet进行互访,这就需要使用IPSec VPN在企业与总部之间建立IPSec隧道,实现两个局域网在Internet的传输。




Cisco IPsec_加密算法_05

show cdp neighbors -------csico探测相连的端口号





















Cisco IPsec_IP_06

配置IPSec VPN步骤:


配置网络可达

首先确保发送方与接受发之间的网络可达。

配置ACL识别兴趣流

通过ACL来定义和区分不同的数据流,有部分不需要满足完整性、机密性要求,所以要对流量进行过滤,选择出需要进行IPSec处理的兴趣流,通过配置ACL来定义和区分的数据流。

创建IPSec安全提议

为了能够正常传输数据流,安全隧道两端的 对等体必须使用相同的安全协议、认证算法、加密算法和封装模式 。如果要在两个安全网关之间建立IPSec隧道,建议将IPSec封装模 式设置为隧道模式,以便隐藏通信使用的实际

配置IPSec安全策略

IPSec策略中会应用IPSec提议中定 义的安全协议、认证算法、加密算法和封装模式。每一个IPSec安全 策略都使用唯一的名称和序号来标识。IPSec策略可分成两类:手工 建立SA的策略和IKE协商建立SA的策略。

在接口应用IPSec安全策略

对称加密算法建议使用AES(128位及以上密钥)

非对称加密算法建议使用RSA(2048位及以上密钥)

哈希算法建议使用SHA2(256及以上密钥)

HMAC(基于哈希算法的消息验证码)算法建议使用HMAC-SHA




IPSec实现方式

IPSec VPN的强大之处再于它工作在OSI模型的第3层,它可以在两个端点之间建立起一条“隧道”,所有基于IP的应用数据都可以通过这条隧道进行传输。


深信服的可以两边都不是固定IP也能做IPSEC,只要在公网上建立一个寻址服务器就可以,或者直接打400,让客服给你分配一个也行,还是免费的。


另外两边都是固定IP的叫做主模式,一边固定另一边拨号的叫做野蛮模式,两边都不固定IP的叫做webagent。


webagent是分支或者移动用户连接总部需要的地址,如果设备出口没有固定公网IP可以联系4006306430申请一个域名,然后通过域名寻址。










































标签:Cisco,IP,安全,IPsec,加密,VPN,加密算法,IPSec
From: https://blog.51cto.com/u_15791951/6923780

相关文章

  • Cisco SD-Access概念
    一.什么是SDA?二.什么是Fabric?1.Fabric提供了一个Overlay网络①Overlay网络是一种逻辑拓扑,用于虚拟连接设备,建立在某些任意物理底层拓扑之上②Overlay网络通常使用备用转发属性来提供附加服务,而不是底层提供的服务2.SDAFabric特点①ControlPlanebasedonLISP②DataPlanebased......
  • Cisco Identity Services Engine (ISE) 3.3 - 思科身份服务引擎
    CiscoIdentityServicesEngine(ISE)3.3-思科身份服务引擎请访问原文链接:https://sysin.org/blog/cisco-ise-3/,查看最新版。原创作品,转载请保留出处。作者主页:sysin.orgCisco现已发布ISE3.3。思科身份服务引擎(ISE)了解和控制网络上的设备和用户利用整个堆栈中的......
  • Cisco SD-WAN (Viptela)
     CiscoSD-WAN(Viptela) 1.  思科SD-WAN融合计划viptela主要产品线有两条:1条,在国外,思科云可直接部署,独立运营团队;1条,在中国viptela不支持思科云方式部署,只支持自建三件套; phase1:   优点:维持Viptela既有产品模式和支持体系。   技术细节:平台,维持既有xEdge;管理......
  • Cisco交换机常见安全攻击
    Cisco交换机常见安全攻击MAC地址泛洪使用网络攻击工具可以执行MAC泛洪。网络入侵工具以大量无效的源MAC地址泛洪攻击交换机,直到MAC地址表充满。DHCP欺骗攻击要防止DHCP攻击,可使用Ciscocatalyst交换机上的DHCP侦听和端口安全性功能。下面步骤说明如何在CiscoIOS交换机上......
  • Cisco交换机常用命令
    Cisco交换机常用命令Cisco交换机常用模式进入特权模式S1>enable退出特权模式S1#disable进入全局配置模式S1#configureterminal进入接口配置模式S1(config)#interfacegigabitEthernet0/1退出接口配置模式S1(co......
  • AWS上FortiGate和Openswan实现点到点IPsecVPN
    AWS上FortiGate和Openswan实现点到点IPsecVPN安装部署AWS上安装FortiGateMarketplace搜索FortiGate,安装对应版本,之后登陆并导入LIC安装Openswan#yum-yinstallopenswanlsof#ipsecverify//一开始会有报错#vi/etc/sysctl.conf#ControlsIPpacketforwardingnet.ipv4.i......
  • Cisco AnyConnect Secure Mobility Client 4.10.07062 (macOS, Linux, Windows)
    CiscoAnyConnectSecureMobilityClient4.10.07062(macOS,Linux,Windows)CiscoSecureClient(包括AnyConnect)请访问原文链接:https://sysin.org/blog/cisco-anyconnect-4/,查看最新版。原创作品,转载请保留出处。作者主页:sysin.org新版已发布:CiscoSecureClient5.0.030......
  • Cisco Catalyst 8000 Series Edge Platforms, IOS XE Release Dublin-17.11.01a ED
    CiscoCatalyst8000SeriesEdgePlatforms,IOSXEReleaseDublin-17.11.01aEDCiscoCatalyst8000边缘平台系列请访问原文链接:https://sysin.org/blog/cisco-catalyst-8000/,查看最新版。原创作品,转载请保留出处。作者主页:sysin.orgCiscoCatalyst8000:随心所欲访问位于......
  • Cisco Catalyst 9800-CL Wireless Controller for Cloud, Release Dublin-17.11.01 ED
    CiscoCatalyst9800-CLWirelessControllerforCloud,ReleaseDublin-17.11.01ED面向云的思科Catalyst9800-CL无线控制器,专为基于意图的网络全新打造请访问原文链接:https://sysin.org/blog/cisco-catalyst-9800-cl/,查看最新版。原创作品,转载请保留出处。作者主页:sysin.......
  • Cisco Catalyst 9000 Series Switches, IOS-XE Release Dublin-17.11.1 ED
    CiscoCatalyst9000SeriesSwitches,IOS-XEReleaseDublin-17.11.1EDCiscoCatalyst9000交换产品系列请访问原文链接:https://sysin.org/blog/cisco-catalyst-9000/,查看最新版。原创作品,转载请保留出处。作者主页:sysin.org接入和核心交换机与Wi-Fi6解决方案的产品组......