网络设备的安全部署
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了网络设备的安全部署相关的知识,希望对你有一定的参考价值。
VPN的模式:
①传输模式:适应于局域网,效率高,IP包头未被保护,只保护数据
②隧道模式:适应于互联网,IP包头被保护,安全性高
VPN类型:
①站点到站点:总公司和分公司之间
②远程访问:个人与公司间
加密算法:
对称加密算法:加解密的密钥相同,类型:des 3des aes
非对称加密算法:使用一对公钥和私钥,互相加解密,公钥公开,私钥持有者保存,
主要算法有:rsa dsa dh
验证算法:md5和sha
ISAKMP/IKE阶段1:管理连接阶段 500/udp
配置传输集参数:加密算法、验证算法、验证类型、DH密钥组、生存周期
ISAKMP/IKE阶段2:数据连接 4500/udp
定义VPN间流量:ACL
定义保护数据的安全协议(SA)
AH:只验证,验证IP包头,安全,但不支持NAT
ESP:验证、加密,支持NAT
IPSec VPN的配置:
(config)#crypto isakmp policy 1 管理连接
#encryption 3des(加密算法)
#hash sha(验证算法)
#authentication pre-share(预先共享方法)
#group 2|1|5(指定DH密钥组)
#lifetime 10000(秒)(管理连接断开时间)
(config)#crypto isakmp key 0 address 对方IP(共享密钥)
零,明文
访问控制触发 VPN
(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.10.0 0.0.0.255
加密和认证算法要相同
(config)#crypto ipsec transform-set t352 esp-des ah-sha-hmac(加密和验证)
#mode tunnel(VPN模式)
#exit
(config)#crypto ipsec security-association lifetime seconds 1800(秒)(断开时间)
(config)#crypto map hanming 1 ipsec-isakmp 映射MAP
#set peer 202.2.2.2(对方IP)
#set transform-set t352
#match address 100(ACL编号)
#exit
(config)#int f1/0(外部接口)
#crypto map hanming(MAP名字)
以上是关于网络设备的安全部署的主要内容,如果未能解决你的问题,请参考以下文章