以下为路由器A的配置,路由器B只需对相应配置做更改即可

1:配置IKE

router(config)# crypto isakmp enable        #启用IKE(默认是启动的)

router(config)# crypto isakmp policy 100     #建立IKE策略,优先级为100

router(config-isakmp)# authentication pre-share #使用预共享的密码进行身份验证

router(config-isakmp)# encryption des        #使用des加密方式

router(config-isakmp)# group 1      #指定密钥位数,group 2安全性更高,但更耗cpu

router(config-isakmp)# hash md5      #指定hash算法为MD5(其他方式:sha,rsa)

router(config-isakmp)# lifetime 86400  #指定SA有效期时间。默认86400秒,两端要一致

以上配置可通过show crypto isakmp policy显示。×××两端路由器的上述配置要完全一样。


2:配置Keys

router(config)# crypto isakmp key cisco1122 address 10.0.0.2

                --(设置要使用的预共享密钥和指定***另一端路由器的IP地址)


3:配置IPSEC

router(config)# crypto ipsec transform-set abc esp-des  esp-md5-hmac   

配置IPSec交换集

               abc这个名字可以随便取,两端的名字也可不一样,但其他参数要一致。

router(config)# crypto ipsec security-association lifetime  seconds 86400  

               ipsec安全关联存活期,也可不配置,在下面的map里指定即可

router(config)# access-list 110 permit tcp 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255

router(config)# access-list 110 permit tcp 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255


4.配置IPSEC加密映射

router(config)# crypto map mymap 100 ipsec-isakmp  创建加密图

router(config-crypto-map)# match address 110   用ACL来定义加密的通信

router(config-crypto-map)# set peer 10.0.0.2   标识对方路由器IP地址

router(config-crypto-map)# set transform-set abc  指定加密图使用的IPSEC交换集

router(config-crypto-map)# set security-association lifetime 86400 指定安全关联的生存期

router(config-crypto-map)# set pfs group 1    指定上面定义的密钥长度


5.应用加密图到接口

router(config)# interface ethernet0/1

router(config-if)# crypto map mamap



相关知识点:

对称加密或私有密钥加密:加密解密使用相同的私钥

DES--数据加密标准 data encryption standard

3DES--3倍数据加密标准 triple data encryption standard

AES--高级加密标准 advanced encryption standard


一些技术提供验证:

MAC--消息验证码  message authentication code

HMAC--散列消息验证码  hash-based message authentication code

MD5和SHA是提供验证的散列函数

对称加密被用于大容量数据,因为非对称加密站用大量cpu资源


非对称或公共密钥加密:

RSA   rivest-shamir-adelman

用公钥加密,私钥解密。公钥是公开的,但只有私钥的拥有者才能解密


两个散列常用算法:

HMAC-MD5 使用128位的共享私有密钥

HMAC-SHA-I  使用160位的私有密钥


ESP协议:用来提供机密性,数据源验证,无连接完整性和反重放服务,并且通过防止流量分析来限制流量的机密性,这些服务以来于SA建立和实现时的选择。

加密是有DES或3DES算法完成。可选的验证和数据完整性由HMAC,keyed SHA-I或MD5提供

IKE--internet密钥交换:他提供IPSEC对等体验证,协商IPSEC密钥和协商IPSEC安全关联


实现IKE的组件

1:des,3des 用来加密的方式

2:Diffie-Hellman  基于公共密钥的加密协议允许对方在不安全的信道上建立公共密钥,在IKE中被用来建立会话密钥。group 1表示768位,group 2表示1024位

3:MD5,SHA--验证数据包的散列算法。RAS签名--基于公钥加密系统