第四课:IKE介绍

时间:2023-01-24 18:51:13 阅读: 最新文章 文档下载
说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。
IKE:internet key exchange 互联网秘钥交换协议 一、IKE的作用?

负责建立和维护iskamp saipsec sa对站点双方进行认证,交换公共秘钥,产生秘钥资源以及协商协议的参数。(封装、加密和验证) 二、Ike的核心协议iskamp

Iskampike的核心协议,主要用于去进行协商,认证。 三、Ike的两个阶段和三种模式?

第一阶段:通过建立iskamp sa来进行认证;

第二阶段:通过建立的ipsec sa对实际的数据流量进行加密。



第一阶段的主模式6个包:

12主要用于协商策略,定义认证的方式;

34主要用于秘钥交换,产生ipsec vpn所需要的秘钥; 56主要在一个加密的环境是去实施认证。即第一阶段主要是进行认证的。 第二阶段快速模式的三个包:

主要用于协商对真是数据流量如何处理,不同的数据流量可能采用的方式是不一样的。

四、Lan to lan vpn配置实例:

配置步骤:

1、解决路由问题;(通常使用缺省路由)

2IKE第一阶段,进行认证,实现vpn链接的建立; 3IKE第二阶段,定义如何对实际数据流量进行处理; 4、定义感兴趣流;

5、定义crypto map对第二阶段的策略进行归类; 6、将map应用在接口下。 图例:




配置命令: Site1

定义协商认证策略

Crypto isakmp policy 10 Encryption des|3des|aes Hash md5|sha

Authentication pre-share|rsa-sig Group 2

配置认证秘钥:

Crypto isakmp key 0 cisco address 202.100.1.2 配置ipsec 策略(转换集)

Crypto ipsec transform-set trans esp-des esp-md5-hmac 定义感兴趣流:

Ip access-list extended vpn

Permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 配置crypto map

Crypto map aaa 10 ipsec-isakmp(加密的秘钥由谁产生) Match address vpn Set transform-set trans Set peer 202.100.1.2 进行接口的调用: Crypto map aaa Site2 site1


本文来源:https://www.wddqw.com/doc/3956c2be172ded630b1cb6e2.html