国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

<li id="kqg46"><rt id="kqg46"></rt></li>

<button id="kqg46"></button>

<dfn id="kqg46"><center id="kqg46"></center></dfn>

安全防御 --- IPSec理論（02）

2年前作者：雨天_分類(lèi)：Toy博客閱讀(18)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了安全防御 --- IPSec理論（02）。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方，請(qǐng)大家不吝賜教，您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問(wèn)。

附：

協(xié)議與模式分類(lèi)

esp 和 ah 的分類(lèi)：

數(shù)據(jù)的安全性：ESP有機(jī)密性；AH無(wú)機(jī)密性
場(chǎng)景：ESP適合公網(wǎng)場(chǎng)景；AH適合內(nèi)網(wǎng) / 私網(wǎng)場(chǎng)景

（數(shù)據(jù)的安全性主要依賴(lài)于傳輸端之間需要做認(rèn)證）

傳輸模式和隧道模式的分類(lèi)：

傳輸端的可達(dá)性：傳輸模式有可達(dá)性；隧道模式無(wú)可達(dá)性
場(chǎng)景：傳輸模式（私網(wǎng)數(shù)據(jù)通過(guò)公網(wǎng)傳輸；異種網(wǎng)絡(luò)之間通過(guò)其他網(wǎng)絡(luò)傳輸）；隧道模式（專(zhuān)線(xiàn)，隧道已做，本身路由可達(dá)）

ipsec配置（路由器）

安全防御 --- IPSec理論（02）

靜態(tài)路由協(xié)議下的IPSec

保證基礎(chǔ)網(wǎng)絡(luò)可達(dá)
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip add 100.1.1.1 24
[r1]ip route-static 0.0.0.0 0 100.1.1.2


[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip add 100.1.1.2 24
[ISP]int g0/0/1
[ISP-GigabitEthernet0/0/1]ip ad 100.1.2.1 24

[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]ip add 100.1.2.2 24
[r2]ip route-static 0.0.0.0 0 100.1.2.1

[r1]int LoopBack 0
[r1-LoopBack0]ip add 172.16.10.1 24
[r2]int LoopBack 0
[r2-LoopBack0]ip add 172.16.1.1 24

安全防御 --- IPSec理論（02）

（1）配置 IKE SA

<1> 安全提議

[r1]ike proposal 1  // 安全提議編號(hào)
[r1-ike-proposal-1]encryption-algorithm 3des-cbc // 加密算法（3des）
[r1-ike-proposal-1]authentication-algorithm sha1 // 認(rèn)證算法（sha1）
[r1-ike-proposal-1]authentication-method pre-share  // 認(rèn)證模式（預(yù)共享：pre）
[r1-ike-proposal-1]dh group2 // 非對(duì)稱(chēng)加密算法強(qiáng)度

[r1]dis ike proposal --- 查看未顯示以及默認(rèn)配置

Number of IKE Proposals: 2

-------------------------------------------
 IKE Proposal: 1
   Authentication method      : pre-shared
   Authentication algorithm   : SHA1
   Encryption algorithm       : 3DES-CBC
   DH group                   : MODP-1024
   SA duration                : 3600
   PRF                        : PRF-HMAC-SHA
-------------------------------------------

-------------------------------------------
 IKE Proposal: Default
   Authentication method      : pre-shared
   Authentication algorithm   : SHA1
   Encryption algorithm       : DES-CBC
   DH group                   : MODP-768
   SA duration                : 86400
   PRF                        : PRF-HMAC-SHA
-------------------------------------------

[r2]ike proposal 1
[r2-ike-proposal-1]encryption-algorithm 3des-cbc
[r2-ike-proposal-1]dh group2
[r2-ike-proposal-1]sa duration 3600

PRF：完美向前法。

<2> 安全認(rèn)證

[r1]ike peer 12 v1  // ike認(rèn)證名稱(chēng)和版本
[r1-ike-peer-12]exchange-mode main // 模式選擇（默認(rèn)主模式）
[r1-ike-peer-12]pre-shared-key cipher 234  // 編譯預(yù)共享密鑰
[r1-ike-peer-12]ike-proposal 1 // 調(diào)用安全提議
[r1-ike-peer-12]remote-address 100.1.2.2 // 調(diào)用遠(yuǎn)端地址

[r2]ike peer 12 v1
[r2-ike-peer-12]ike-proposal 1
[r2-ike-peer-12]pre-shared-key cipher 234
[r2-ike-peer-12]remote-address 100.1.1.1
[r2-ike-peer-12]exchange-mode main

（2）配置IPSec? SA 安全提議信息

[r1]ipsec proposal 1 // ipsec提議
[r1-ipsec-proposal-1]transform esp  // 選擇傳輸協(xié)議
[r1-ipsec-proposal-1]esp authentication-algorithm sha2-512 // 認(rèn)證算法
[r1-ipsec-proposal-1]esp encryption-algorithm aes-128 // 加密算法
[r1-ipsec-proposal-1]encapsulation-mode tunnel // 封裝模式（隧道模式）

[r1]dis ipsec proposal --- 查看

Number of proposals: 1

IPSec proposal name: 1                            
 Encapsulation mode: Tunnel                            
 Transform         : esp-new
 ESP protocol      : Authentication SHA2-HMAC-512                             
                     Encryption     AES-128

[r2]ipsec proposal 1
[r2-ipsec-proposal-1]transform esp 
[r2-ipsec-proposal-1]encapsulation-mode tunnel
[r2-ipsec-proposal-1]esp authentication-algorithm sha2-512
[r2-ipsec-proposal-1]esp encryption-algorithm aes-128

（3）定義加密流量（感興趣流）

[r1]acl 3000
[r1-acl-adv-3000]rule 5 permit ip source 172.16.10.1 0.0.0.0 destination 172.16.1.1 0.0.0.0

[r2]acl 3000
[r2-acl-adv-3000]rule 5 permit ip source 172.16.1.1 0.0.0.0 destination 172.16.10.1 0.0.0.0

（4）配置安全策略集

[r1]ipsec policy k 10 isakmp --- 定義名為k，序列號(hào)為10，運(yùn)用isakmp（IKE）進(jìn)行協(xié)商
[r1-ipsec-policy-isakmp-k-10]ike-peer 12 // 關(guān)聯(lián)ike-peer
[r1-ipsec-policy-isakmp-k-10]security acl 3000 // 關(guān)聯(lián)感興趣流
[r1-ipsec-policy-isakmp-k-10]pfs dh-group2 // pfs：完美向前法

[r2]ipsec policy k 10 isakmp 
[r2-ipsec-policy-isakmp-k-10]ike-peer 12
[r2-ipsec-policy-isakmp-k-10]proposal 1
[r2-ipsec-policy-isakmp-k-10]security acl 3000
[r2-ipsec-policy-isakmp-k-10]pfs dh-group2

（5）接口調(diào)用安全策略集

[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ipsec policy k
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]ipsec policy k

進(jìn)行觸發(fā)：

安全防御 --- IPSec理論（02）

（6）查看安全聯(lián)盟建立情況

<r1>dis ike sa
    Conn-ID  Peer            VPN   Flag(s)                Phase  
  ---------------------------------------------------------------
        2    100.1.2.2       0     RD|ST                  2     
        1    100.1.2.2       0     RD|ST                  1     

  Flag Description:
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP
<r1>dis ipsec sa
    [Outbound ESP SAs] 
      SPI: 1407390962 (0x53e314f2)
      Proposal: ESP-ENCRYPT-AES-128 SHA2-512-256
      SA remaining key duration (bytes/sec): 1887329280/2740
      Max sent sequence-number: 5
      UDP encapsulation used for NAT traversal: N

    [Inbound ESP SAs] 
      SPI: 3197321182 (0xbe933fde)
      Proposal: ESP-ENCRYPT-AES-128 SHA2-512-256
      SA remaining key duration (bytes/sec): 1887436380/2740
      Max received sequence-number: 5
      Anti-replay window size: 32
      UDP encapsulation used for NAT traversal: N

動(dòng)態(tài)路由協(xié)議下的IPSec

新建環(huán)回
[r1]int LoopBack 0
[r1-LoopBack1]ip ad 1.1.1.1 24
gre下的隧道配置
[r1]int  t0/0/0
[r1-Tunnel0/0/0]tunnel-protocol gre
[r1-Tunnel0/0/0]source g0/0/0
[r1-Tunnel0/0/0]destination 100.1.2.2
[r1-Tunnel0/0/0]ip add 10.1.1.1 24

[r2]int lo 1
[r2-LoopBack1]ip add 2.2.2.2 24
[r2]int t0/0/0
[r2-Tunnel0/0/0]tunnel-protocol gre 
[r2-Tunnel0/0/0]source g0/0/0
[r2-Tunnel0/0/0]destination 100.1.1.1
[r2-Tunnel0/0/0]ip add 10.1.1.2 24

ospf配置
[r1]ospf 1
[r1-ospf-1]a 0
[r1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
[r1-ospf-1-area-0.0.0.0]network 10.1.1.1 0.0.0.0
[r2]ospf 1
[r2-ospf-1]a 0
[r2-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0
[r2-ospf-1-area-0.0.0.0]network 10.1.1.2 0.0.0.0

查看鄰居建立情況
[r1]dis ospf peer brief 
	 OSPF Process 1 with Router ID 100.1.1.1
		  Peer Statistic Information
 ----------------------------------------------------------------------------
 Area Id          Interface                        Neighbor id      State    
 0.0.0.0          Tunnel0/0/0                      100.1.2.2        Full        
 ----------------------------------------------------------------------------

（1）配置 IKE SA?

<1> 安全提議

[r1]ike proposal 10
[r1-ike-proposal-10]encryption-algorithm 3des-cbc 
[r1-ike-proposal-10]authentication-algorithm sha1
[r1-ike-proposal-10]authentication-method pre-share 
[r1-ike-proposal-10]dh group2

[r2]ike proposal 10
[r2-ike-proposal-10]encryption-algorithm 3des-cbc 
[r2-ike-proposal-10]authentication-algorithm sha1
[r2-ike-proposal-10]authentication-method pre-share
[r2-ike-proposal-10]dh group2

<2> 安全認(rèn)證

[r1]ike peer gre v1
[r1-ike-peer-gre]pre-shared-key simple aaa  // 設(shè)置預(yù)共享密鑰（simple：本地不加密）
[r1-ike-peer-gre]exchange-mode aggressive  // 采用野蠻模式
[r1-ike-peer-gre]local-id-type name  // 采用name定義
[r1-ike-peer-gre]remote-name a1  // 遠(yuǎn)端name為a1
[r1-ike-peer-gre]remote-address 100.1.2.2 // 遠(yuǎn)端IP
[r1-ike-peer-gre]ike-proposal 10  // 引用ike
[r1]ike local-name a1 // 全局定義本地name

[r2]ike peer gre v1
[r2-ike-peer-gre]ike-proposal 10 
[r2-ike-peer-gre]pre-shared-key simple aaa
[r2-ike-peer-gre]remote-address 100.1.1.1
[r2-ike-peer-gre]exchange-mode aggressive 
[r2-ike-peer-gre]local-id-type name
[r2-ike-peer-gre]remote-name a1

（2）配置ipsec sa 的安全提議信息

[r1]ipsec proposal gre
[r1-ipsec-proposal-gre]encapsulation-mode transport 

[r2]ipsec proposal gre 
[r2-ipsec-proposal-gre]encapsulation-mode transport

（3）定義加密流量（感興趣流）

[r1]acl 3001
[r1-acl-adv-3001]rule 10 permit gre source 100.1.1.1 0 destination 100.1.2.2 0

[r2]acl 3001
[r2-acl-adv-3001]rule 10 permit gre source 100.1.2.2 0 destination 100.1.1.1 0

（4）配置安全策略集

[r1]ipsec policy gre 10 isakmp 
[r1-ipsec-policy-isakmp-gre-10]ike-peer gre 
[r1-ipsec-policy-isakmp-gre-10]proposal gre
[r1-ipsec-policy-isakmp-gre-10]security acl 3001

[r2]ipsec policy gre 10 isakmp
[r2-ipsec-policy-isakmp-gre-10]security acl 3001
[r2-ipsec-policy-isakmp-gre-10]proposal gre
[r2-ipsec-policy-isakmp-gre-10]ike-peer gre

（5）接口調(diào)用安全策略集

[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ipsec policy gre

[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]ipsec policy gre

ping進(jìn)行觸發(fā)：

安全防御 --- IPSec理論（02）

安全防御 --- IPSec理論（02）
流量已加密

（6）分析

安全防御 --- IPSec理論（02）文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-479144.html

到了這里，關(guān)于安全防御 --- IPSec理論（02）的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來(lái)自互聯(lián)網(wǎng)用戶(hù)投稿，該文觀(guān)點(diǎn)僅代表作者本人，不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載，請(qǐng)注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符，請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋，一經(jīng)查實(shí)，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

安全防御--IPsec VPN點(diǎn)到點(diǎn)的實(shí)驗(yàn)
在計(jì)算機(jī)和網(wǎng)絡(luò)安全領(lǐng)域中，數(shù)據(jù)認(rèn)證是指驗(yàn)證數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中的完整性、真實(shí)性和合法性的過(guò)程。數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中容易受到數(shù)據(jù)篡改、損壞或未經(jīng)授權(quán)的訪(fǎng)問(wèn)和修改的風(fēng)險(xiǎn)，數(shù)據(jù)認(rèn)證可以幫助防止這些風(fēng)險(xiǎn)并提高數(shù)據(jù)的安全性和可靠性。數(shù)據(jù)認(rèn)證的主要作
2024年02月04日
瀏覽(23)
安全防御——三、網(wǎng)絡(luò)安全理論知識(shí)
下邊基于這次攻擊演示我們介紹一下網(wǎng)絡(luò)安全的一些常識(shí)和術(shù)語(yǔ)。資產(chǎn) 任何對(duì)組織業(yè)務(wù)具有價(jià)值的信息資產(chǎn)，包括計(jì)算機(jī)硬件、通信設(shè)施、IT 環(huán)境、數(shù)據(jù)庫(kù)、軟件、文檔資料、信息服務(wù)和人員等。網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不
2024年02月04日
瀏覽(18)
網(wǎng)絡(luò)安全協(xié)議之IPSec協(xié)議
IPSec即IP安全協(xié)議網(wǎng)絡(luò)層在傳輸?shù)臅r(shí)候可能會(huì)遭到攻擊，這時(shí)我們需要用IPSec協(xié)議來(lái)進(jìn)行保護(hù) 就像使用SSL協(xié)議來(lái)保護(hù)傳輸層一樣 IPSec經(jīng)常用于建立虛擬專(zhuān)用網(wǎng)絡(luò)（VPN），它通過(guò)對(duì)IP數(shù)據(jù)包進(jìn)行加密和認(rèn)證，來(lái)提供兩臺(tái)計(jì)算機(jī)之間的安全加密通信 1. AH只提供認(rèn)證和完整性保護(hù)，不
2024年02月12日
瀏覽(27)
網(wǎng)絡(luò)協(xié)議 — IPSec 安全隧道協(xié)議族
2024年02月06日
瀏覽(28)
詳解IP安全：IPSec協(xié)議簇 | AH協(xié)議 | ESP協(xié)議 | IKE協(xié)議_ipsec esp
目錄 IP安全概述 IPSec協(xié)議簇 IPSec的實(shí)現(xiàn)方式 AH（Authentication Header，認(rèn)證頭） ESP（Encapsulating Security Payload，封裝安全載荷） IKE（Internet Key Exchange，因特網(wǎng)密鑰交換） IKE的兩個(gè)階段大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運(yùn)行多種網(wǎng)絡(luò)協(xié)議（TCP/IP、IPX/SPX和NETBEUA等），這些網(wǎng)絡(luò)協(xié)議并非為安全通信設(shè)計(jì)
2024年01月19日
瀏覽(23)
IPsec、安全關(guān)聯(lián)、網(wǎng)絡(luò)層安全協(xié)議
·IP 幾乎不具備任何安全性，不能保證： ? ? ? ? 1.數(shù)據(jù)機(jī)密性 ? ? ? ? 2.數(shù)據(jù)完整性 ? ? ? ? 3.數(shù)據(jù)來(lái)源認(rèn)證 ·由于其在設(shè)計(jì)和實(shí)現(xiàn)上存在安全漏洞，使各種攻擊有機(jī)可乘。例如：攻擊者很容易構(gòu)造一個(gè)包含虛假地址的 IP 數(shù)據(jù)報(bào)。 · IPsec 提供了標(biāo)準(zhǔn)、健壯且包含廣泛的機(jī)
2024年02月19日
瀏覽(23)
安全防御——四、防火墻理論知識(shí)
20世紀(jì)90年代，隨著互聯(lián)網(wǎng)的普及，出現(xiàn)了路由器訪(fǎng)問(wèn)控制列表無(wú)法抵御的攻擊和非法訪(fǎng)問(wèn)等一系列威脅，因此出現(xiàn)了針對(duì)這些威脅的防范策略需求。1992年OECD組織發(fā)布了“信息系統(tǒng)安全指導(dǎo)書(shū)\\\",其中定義了為構(gòu)建安全網(wǎng)絡(luò)體系而需要遵循的CIA基本理念。CIA是機(jī)密性(Confidential
2024年02月04日
瀏覽(23)
網(wǎng)絡(luò)安全--防御保護(hù)02
第二天重要的一個(gè)點(diǎn)是區(qū)域這個(gè)概念防火墻的主要職責(zé)在于控制和防護(hù)---安全策略---防火墻可以根據(jù)安全策略來(lái)抓取流量之后做出對(duì)應(yīng)的動(dòng)作單一主機(jī)防火墻：專(zhuān)門(mén)有設(shè)備作為防火墻路由集成：核心設(shè)備，可流量轉(zhuǎn)發(fā) 分布式防火墻：部署多個(gè) 吞吐量 --- 防火墻同一時(shí)間處
2024年01月24日
瀏覽(26)
5.2 IPSec之二----安全協(xié)議
1、安全協(xié)議認(rèn)證頭AH協(xié)議只提供認(rèn)證服務(wù) 封裝安全荷載協(xié)議ESP提供認(rèn)證和加密兩種服務(wù) 認(rèn)證服務(wù)是可選的，加密服務(wù)必須實(shí)現(xiàn) ? 2、認(rèn)證頭協(xié)議AH 傳輸模式的AH進(jìn)行認(rèn)證的范圍是除了IP頭部的可變部分之外的整個(gè)IP數(shù)據(jù)包隧道模式的AH對(duì)整個(gè)內(nèi)部IP包及其外部IP包頭部的不變部
2024年02月07日
瀏覽(24)
網(wǎng)絡(luò)安全——網(wǎng)絡(luò)層IPSec安全協(xié)議（4）
作者簡(jiǎn)介：一名云計(jì)算網(wǎng)絡(luò)運(yùn)維人員、每天分享網(wǎng)絡(luò)與運(yùn)維的技術(shù)與干貨。? ?座右銘：低頭趕路，敬事如儀個(gè)人主頁(yè)：網(wǎng)絡(luò)豆的主頁(yè)?????? 目錄前言一.IPSec安全協(xié)議 1.IPSec提供的安全服務(wù) 2.IPSec結(jié)構(gòu) 3.IPSce提供的兩種機(jī)制二.Authentication Header 協(xié)議 1. Authentication Heade
2024年02月03日
瀏覽(20)

<dfn id="ssywq"><center id="ssywq"></center></dfn>

<menu id="ssywq"></menu>