首页 > 其他分享 >CCNA Security第五天.2

CCNA Security第五天.2

时间:2024-08-13 23:31:02浏览次数:13  
标签:set cisco 0.0 cry 202.100 CCNA Security 第五天 ipsec

ipsec组成部分

esp(负载安全封装)协议

认证头(ah)协议

internet密钥交换(ike)协议

ipsec 两种工作模式

transport mode

tunnel mode

l2l实例分析

remote access实例分析

pc to pc实例分析

ike介绍

ike负载建立和维护ike sas和ipsec sas.

功能主要体现在如下几个方面:

对双方进行认证

交换公共密钥,产生密钥资源,管理密钥。

协商协议参数(封装,加密,验证...)

ike的三个模式

只有一种情况用主动模式,用与共享密钥认证的远程拨号vpn。其他都是主模式。

第一阶段,相互认证。

第二阶段,快速模式,3个包

主模式的6个包

6个包有3次交换,

1-2一次交换:交换策略,如何认证。如何加密。5-6个包,和快速模式的3个包。

3-4一次交换:通过dh交换,产生随机的密钥

5-6一次交换:相互认证。

ipsec配置步骤介绍

setp1:isakmp policy

step2:transform set

step3:interesting traffic

step4:crypto map

step1.(配置isakmp policy)

cypto isakmp polcy 10

encr 3des (默认:des)

hash md5(默认:sha)

authen pre-share(默认:rsa-sig)

group 2(默认:1)

crypto isakmp key 0 l2lkey address 202.100.1.2

配置ipsec策略(转换集)

cry ipsec transform-set trans esp-des esp-md5-hmac(加一个密钥一起做hash)

配置感兴趣流

ip access-list extended vpn

permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

配置crypto map(第二阶段策略关联)

crypto map cry-map 10(可以提供多个时候用id区别) ipsec-isakmp(密钥谁提供的)

match address vpn

set transform-set trans

set peer 202.100.1.2

int f0/1

crypto map cry-map

传统ipsec vpn的几大问题

1.不支持直接加密组播(最本质问题)

2.不支持动态路由协议

3.不提供routable interface for terminating ipsec tunnels(qos/fw...)

解决方案

1.gre over ipsec

2.svti(static virtual tunnel interface)

gre介绍

gre 协议号47

通用路由封装,封装广泛网络层的包,都能封装到一个ip的隧道,会产生一个点到点的链路。

gre主要的问题时:没有任何安全功能。

gre示意图

site1:

ip route 0.0.0.0 0.0.0.0 202.100.1.10

inter tunnel 0

ip add 13.1.1.1 255.255.255.0

tunnel souce 202.100.1.1

tunnel destination 202.100.2.2

router ospf 1

net 1.1.1.0 0.0.0.255 area 0

net 123.1.1.0 0.0.0.255 area 0

cry isa pol 10

au pre

cry isak key 0 cisco address 202.100.2.2

ip access-list ex vpn

permit gre host 202.100.1.1 host 202.100.2.2

cry ipsec transform-set cisco esp-des esp-md5-hmac

mode transport

cry map cisco 10 ipsec-isa

match address vpn

set transform-set cisco

set peer 202.100.2.2

int f0/0

cry map cisco

site2:

ip route 0.0.0.0 0.0.0.0 202.100.2.10

inter tunnel 0

ip add 123.1.1.2 255.255.25.50

tunnel souce 202.100.2.2

tunnel destination 202.100.1.1

router ospf 1

net 123.1.1.0 0.0.0.255 area 0

net 2.2.2.0 0.0.0.255 area 0

cry isa pol 10

au pre

cry isa 0 cisco address 202.100.1.1

cry ipsec transform-set cisco esp-des esp-md5-hmac

mode transport

crypto ipsec profile ipsecprof

set transform-set cisco

int tunn 0

tnnel protection ipsec profile ipsecprof

标签:set,cisco,0.0,cry,202.100,CCNA,Security,第五天,ipsec
From: https://www.cnblogs.com/smoke520/p/18357905

相关文章

  • CCNA Security第一天.1
    为什么我们需要安全?网络结构攻击技术资产价值1.巨大的财务损失2.病毒是最大的威胁,其次是源自于内部的攻击3.接近10%的企业遭受了dns攻击,4.27%的企业曾遭受targetedattack5.68%的企业拥有自己的信息安全策略cia安全模型1.confidentiality私密性防止物理和逻辑访问我们......
  • CCNA Security第三天.1
    ssh其实就是加密的telnet。clissh配置步骤tep1:配置主机名hostnamesshrouterstep2:配置域名ipdomiannameyeslab.comstep3:产生rsa密钥对(建议1024位长度)cryptokeygeneratersamodulus1024step4:创建本地用户名和密码(级别可选)usernameadminprivilege15pa......
  • CCNA Security第二天.2
    sdm配置sdm1.创建本地用户名和密码(级别15)usernameadminprivilege15passwordyeslabccies2.启用http或者https服务器iphttpsecure-server/iphttpserver3.配置http的本地认证iphttpauthenticationlocal4.配置vty线路的本地用户认证或sshlinevty015loginloc......
  • CCNA Security第四天.1
    ios安全经典特性1.iptcpintercept抵御syn同步的dos攻击。protecttcpserversfromsyn-floodingattacks两种工作模式:1.interceptmode(activemode)default伪装服务器给客户端发送ack+syn2.watchmode(passivemode)可以设置在多长时间内完成3次握手,如果过了路由器就......
  • CCNA Security第三天.2
    其他交换机安全特性1.span(交换机端口分析)monitorsession1sourceinterfacegi0/2(把某个接口流量引导某个接口)monitorsession1detinationinterfacegi0/3(抓包的接口)2.vacl1.能够对vlan内核vlan间的流量进行控制2.能够对ip和none-ip的流量进行控制3.vacl先于racl进......
  • CCNA Security第四天.2
    防火墙的三种类型packetfiltering(包过滤)proxyserver(代理服务器)statefulpacketfiltering(状态监控包过滤)packetfiltering介绍一个老的防火墙技术,也就是我们使用的访问控制列表acl.cisco访问控制列表分类1.standard(标准)2.extended(扩展)控制源|目的|协议|端口|tos|时......
  • CCNA Security第四天.3
    配置zone-basedpolicy防火墙步骤1.确定游泳相同安全功能的接口,并且把他们放入相同的securityzones内2.决定在znne间双向需要穿越流量3.配置zones4.配置zonepairs,如果某一个方向没有任何流量需要放行就不用配置了5.定义classmaps匹配zones间流量6.配置policymaps关联cl......
  • 14.第五天(第二部分):Installing and Maintaining the IDSM-2
    idsm-2performance:500mbpssize:1ru/slotprocessor:dual1.1.3ghzoperatingsystem:linux即支持在线模式也支持离线模式port1:不能配置只是发送tcpresetport2:commandports7and8:sensing口,已经做好trunkvlanmap既能对二层又能对三层流量控制ipaccess-listexi......
  • SpringSecurity+前端项目+redis完成认证授权的代码
    1.前端准备工作--都在全局main.js页面中设置的1.1.创建Vue工程后,并导入elementui和axios,添加连接后端项目的路径,把axios挂载到Vue1.2.前置路由守卫(所有路由跳转前核实一下身份)//前置路由守卫--所有的路由跳转都先经过这里//to:即将要访问的路径from:从哪里来......
  • 4.5.Switch Security
    switchsecurity(交换安全)maclayerattacks(mac地址攻击)mac地址泛红变换mac让交换机不停学习,占满mac地址表,其他pc发送报文就进行泛红。portsecurity(端口安全)1未授权mac地址2mac地址个数限制(默认1个)3采取措施switch(config-if)#switchportport-security[maximumvalue]......