互联网安全协议(英语:Internet Protocol Security,缩写为IPsec),是一个协议簇,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。 [1]
IPsec主要由以下协议组成:
一、认证头(AH),为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护;
二、封装安全载荷(ESP),提供机密性、数据源认证、无连接完整性、防重放和有限的传输流(traffic-flow)机密性;
三、安全关联(SA),提供算法和数据包,提供AH、ESP操作所需的参数。
四、密钥协议(IKE),提供对称密码的钥匙的生存和交换。
实验拓补图:
1.接口分配地址
RT1:
interface GigaEthernet0/6
ip address 192.168.1.1 255.255.255.252RT2:
interface GigaEthernet0/6
ip address 192.168.1.2 255.255.255.2522.配置IKE预共享钥匙与对端IP
RT1:
crypto isakmp key abc 192.168.1.2 255.255.255.255RT2:
crypto isakmp key abc 192.168.1.1 255.255.255.2553.配置IKE策略
RT1:
crypto isakmp policy 10
encryption 3des
hash md5RT2:
crypto isakmp policy 10
encryption 3des
hash md54.设置变换集
RT1:
ip access-list extended acl
permit ip any any
!
crypto map abe 10 ipsec-isakmp
set peer 192.168.1.2
set transform-set one
match address acl RT2:
ip access-list extended acl
permit ip any any
!
crypto map abe 10 ipsec-isakmp
set peer 192.168.1.1
set transform-set one
match address acl 5.在接口是调用
RT1:
interface GigaEthernet0/6
no ip address
no ip directed-broadcast
crypto map abeRT2:
interface GigaEthernet0/6
no ip address
no ip directed-broadcast
crypto map abe6.双方配置路由指向对方,要先ping通对端建立IPSec接口上才能激活IPSec,不然是show不出状态的
查看状态(show crypto ipsec sa;show crypto isakmp sa)
RT1:
RT2: