×××————虚拟专有网

 

internet上创建一条虚拟的通道,身处不同位置的公司可以通过这条通道相互传输数据,当然数据在传输的过程中是经过加密的

 

一、×××建立连接的两种模式
a)         传输模式
                        i.              ×××在这种模式下传输数据时,仅仅是保护数据本身部分(不保护数据包头),在传输的过程中,包头中的IP信息仍然是真实的机器的IP
b)        隧道模式
                        i.              ×××在这种模式下传输数据时,保护的是整个数据(包括数据本身和数据包头信息);然后再给数据重新封装一个IP包头的信息,不仅起到保护数据的功能也保护了数据发送者的IP

 

二、身份验证、数据加密采用的方法
a)         加密方法
                        i.              对称加密算法
1.         DES
2.         3DES
3.         AES
                      ii.              非对称加密算法
1.         DH
b)        认证方法
                        i.              Md5
                      ii.              Sha
c)         在建立数据连接采用的加密和认证方法
                        i.              AH
                      ii.              ESP

 

 

三、IPSEC ×××的配置
×××的配置可以在路由器、ASA防火墙上进行配置;但在路由器上配置×××的时候可以支持ESPAH的加密和认证方法;但ASA防火墙只支持ESP的加密和认证方法

 

Pc1-------R1---------internet------------R2-------------pc2

1IPSEC ×××在路由器上的配置
a)         建立管理连接
                        i.              管理连接是一个IKE的交换过程,其采用UDP协议的500端口
                      ii.              配置命令
Crypto isakmp policy 1
Encryption {3des | des | aes}
Hash {md5 | sha}
Authentication pre-share
Group {1 | 2 | 5 }
Crypto isakmp key {0 | 6 } key keystring address IP_ADDRESS
       0:表示KEY在传输的过程中不需要加密
       6:表示KEY在传输的过程中需要加密
b)        建立数据连接
                        i.              配置数据在传输的过程中采用哪种模式,采用哪种加密算法,采用哪种认证方法
                      ii.              配置命令
定义需要进行×××ACL
Crypto ipsec transform-set name esp-des ah-md5
Mode tunnel
Crypto map name priority isakmp-ipsec
Match address access-list num
Set transform-set name
Set peer ip_address
Interface f0/0
Crypto map transform-set-name