再想想-----***
生活随笔
收集整理的這篇文章主要介紹了
再想想-----***
小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
×××:<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /> 目標(biāo):低費(fèi)用:DDN是每月約6000元/月,幀中繼是每月約3000元/月,用低廉的遠(yuǎn)程連接幾個(gè)園區(qū)網(wǎng)。 安全: 相關(guān)的這些技術(shù)統(tǒng)稱:××× 1.??????? 保證數(shù)據(jù)的機(jī)密性(讓別人看不懂),方法:加密,暗文 2.??????? 保證數(shù)據(jù)的完整性(讓別人不能修改) 3.??????? 源起證明。(身份認(rèn)證) 1.??????? 機(jī)密性:(對(duì)IP包的每個(gè)字節(jié)的加密) a)??????? 對(duì)稱密碼系統(tǒng)(pre-share):加、解密的KEY是一樣的(這樣的快一些) ???????????????????????? i.????????????? des: key為56位(70年代的技術(shù)) ?????????????????????? ii.????????????? aes: key為128位(測(cè)試階段,還未實(shí)用) ????????????????????? iii.????????????? 3des: key為3個(gè)56位。(現(xiàn)在用的) b)??????? 公匙、私匙:(慢) ???????????????????????? i.????????????? 公匙與私匙唯一對(duì)應(yīng)(就好像存折的存折號(hào)和存折的密碼的關(guān)系) ?????????????????????? ii.????????????? RAS標(biāo)準(zhǔn) 2.??????? 完整性: 用散列算法實(shí)現(xiàn)保證完整性。一個(gè)任意長(zhǎng)的數(shù)據(jù),用散列函數(shù)可算出64字節(jié)的數(shù)據(jù)標(biāo)簽來(lái)對(duì)應(yīng)它。標(biāo)簽放在包里,收者對(duì)比是否一致。 ? 散列算法標(biāo)準(zhǔn):SHA ??????????????? HMA :用key加密 ??????????????? MD5:不用key加密
?
Ipsec(IP security)技術(shù): 1.??????? AH:認(rèn)證IP頭(頭是路由信息),其中TTL字段、FCS校驗(yàn)和不能加入。 ???? 可用于×××明、完整性2個(gè)方面。 2.??????? ESP:對(duì)IP包的數(shù)據(jù)部分處理。 ???????? ×××明、完整性、機(jī)密性3個(gè)方面都可引用。?
SA(安全結(jié)合者):相連2個(gè)路由器,IPsec的參數(shù)協(xié)商統(tǒng)一后的結(jié)果。 ??????????????? 一般會(huì)放在本地的SA的數(shù)據(jù)庫(kù)中。 Ike(internet key 交換):是一組協(xié)議。 ??????????????? ??????目的:2個(gè)路由器建立SA ????????????????????? 包括:iSAkmp(internet SA key management priority)等等協(xié)議?
Ipsec的指令配置: ? ? ? ? ? 1.??????? <?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />做訪問(wèn)列表,指定哪些包加密。 A:access-list 1 permit <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />10.1.1.0? 0.0.0.255 2.??????? 保證Ike的SA,即保證協(xié)商的過(guò)程。 A:crypto isakmp policy 110???????????????? ?????????(110是Ike策略的序號(hào)) ??? Auth pre-share??????????????????????????????? (對(duì)稱密碼系統(tǒng),保證第一次Ike的過(guò)程安全) ??? Encrypto des ??? Hash MD5??????????????????????????????????? (散列標(biāo)準(zhǔn):MD5) ??? Lefttime 6000????????????????????????????????? (110只有6000秒的存活時(shí)間?) ? Crypto iSAkmp key ciscokey ip 10.1.1.2 ????????????(ciscokey 是key) 3.??????? Ipsec的SA Crypto Ipsec transfrom cisco esp-des AH-MD5???????? (cisco是Ipsec的策略名,key由Ike協(xié)商后決定的) 4.??????? 用map組合以上步驟: crypto map ciscomap 110 Ipsec-isakmp??????????????????? (Ipsec-isakmp調(diào)用第二步) match address 1?? ?????????????????????????????????(這個(gè)1是指訪問(wèn)列表1) ??? set peer 10.1.1.2 ??? set transfrom ciscokey???????????????????????????? (ciscokey對(duì)應(yīng)第二步的那個(gè)key) 5.??????? 在接口上應(yīng)用 int s0 ??? crypto map ciscomap?
B上同樣也要做這樣的設(shè)定,只有第二、四步的那個(gè)IP變?yōu)?/span>10.1.1.1 B: access-list 1 permit 10.1.1.0? 0.0.0.255 crypto isakmp policy 110????????????????????????? (110是Ike策略的序號(hào)) ??? Auth pre-share??????????????????????????????? (對(duì)稱密碼系統(tǒng),保證第一次Ike的過(guò)程安全) ??? Encrypto des ??? Hash MD5??????????????????????????????????? (散列標(biāo)準(zhǔn):MD5) ??? Lefttime 6000??????????????? ??????????????????(110只有6000秒的存活時(shí)間?) ? Crypto iSAkmp key cisco ip 10.1.1.1?????????????? (cisco 是key) Crypto Ipsec transfrom cisco esp-des AH-MD5???????? (cisco是Ipsec的策略名,key由Ike協(xié)商后決定的) crypto map ciscomap 110 Ipsec-isakmp?????????????? (Ipsec-isakmp調(diào)用第二步) match address 1??????????????????????????????????? (這個(gè)1是指訪問(wèn)列表1) ??? set peer 10.1.1.1 ??? set transfrom ciscokey???????????????????????????? (ciscokey對(duì)應(yīng)第二步的那個(gè)key) int s0 ??? crypto map ciscomap?
轉(zhuǎn)載于:https://blog.51cto.com/makeguan/87268
總結(jié)
以上是生活随笔為你收集整理的再想想-----***的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 少走弯路的10个忠告
- 下一篇: 【转载】单片机应用系统断电时的数据保护方