***虚拟专用网络

作用:通过不安全的网络实现私有网络间安全通信。

原理:通过加密,认证,ACL,隧道(封装)四个技术来实现。


***连接模式:

隧道模式:适用于公有地址和私有地址混合环境。

传输模式:适用于纯公有网络或纯私有网络。  


加密和认证的比较:

加密:是双向过程,有加密必有解密,主要用于实现数据的机密性。常      用的加密算法DES,3DES,AES,RSA,GPG,DH

认证:是一个单向过程,主要用于报文的完整性验证和身份确认。常用      的算法有MD5,SHA


非对称算法:安全性高,速度慢。一般用于加密少量的敏感信息。

对称算法:安全性差,速度快。一般用于大量的数据传输,通过经常更换密码以增加安全性。


加密算法的应用:

通过非对称加密算法加密对称加密算法的密钥。

然后再用对称加密算法加密实际要传输的数据。

--------------------------------------------------------------

IPsec***原理与配置_第1张图片


分别在R2R4上配置Ipsec×××

使用NAT实现,内部主机能访问ISP



ipsec ×××的配置:

1、管理连接配置:

crypto isakmp policy 1

 encr aes             加密算法

 hash  sha     认证算法

 authentication pre-share 声明设备认证方式为“预先共享密钥”

 group 2 采用DH算法的强度为group2

 lifetime 10000 管理连接生存周期


crypto isakmp key benet.123 address 201.0.0.2  配置“预先共享密钥”


2、数据连接配置

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 (***保护的流量)


crypto ipsec transform-set test-set ah-sha-hmac esp-aes  (数据连接协商参数)


crypto map test-map 1 ipsec-isakmp   将数据连接相关配置设定为MAP

 set peer 201.0.0.2 ***对端地址

 set transform-set test-set 数据传输采用的传输集

 match address 101 匹配的ACL

3、将MAP在外部接口应用:

int F1/0

crypto map test-map


4、PAT(解决内部主机访问internet)

 

access-list 102 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255(拒绝×××的流量)

access-list 102 permit ip any any (放行所有流量)


注明:当有NAT和×××时,先匹配NAT,后匹配×××。所有要拒绝×××的流量。


ip nat inside source list 102 interface FastEthernet1/0 overload


接口上启用nat功能:

  int  f0/0

    ip nat  inside

  

   int  f1/0

    ip nat  outside