使用IKE預共享密鑰配置IPsec
?????? 配置IKE預共享密鑰的過程
??????? 1 為IKE和IPSEC準備
?????????? 1檢查當前配置 show running-configuration??? show crypto isakmp policy??? show crypto map
?????????? 2確定IKE策略（IKE階段1）? 基于對等體的位置和數目，確定對等體之間的IKE策略
???????????????? IKE階段1：定義策略參數
???????????????? 參數????????? 強???????? 更強???????????????????????????????? 參數?????????????? 強????????????? 更強
?????????????? 加密算法??????? DES??????? 3-DES??????????????????????????????? 密鑰交換????????? DH組1?????????? DH組2
?????????????? 散列算法??????? MD5??????? SHA-1??????????????????????????????? IKE SA生命期????? 86400?????????? <86400
?????????????? 認證方法?????? 預共享????? RSA加密
????????????????????????????????????????? RSA簽名
???????????????? 為一定用途建立IKE策略
???????????????? IKE協商必須受到保護，在每個對等體同意一個通用的IKE策略時，每個IKE協商開始，該策略規定哪些安全參數將被用來保護之后的IKE協商。
?????????????? 兩個對等體同意一個策略后，在每個對等體上建立起一個SA，確定策略的安全參數，，這些SA應用于隨后的協商過程中的所有IKE流量。
???????????????? 定義IKE策略參數
????????????????????????????????????????????????????????????? IKE階段1默認值
?????????????? 參數?????????????????????????????? 接收的值???????????????????????????? 關鍵字???????????????????????????? 默認值
???????????? 消息加密算法???????????????????????? DES????????????????????????????????? Des??????????????????????????????? DES
????????????????????????????????????????????????? 3-DES??????????????????????????????? 3des?????????????????????????????? DES
???????????? 信息完整性散列算法?????????????????? SHA-1 HMAC變種?????????????????????? sha??????????????????????????????? SHA-1
????????????????????????????????????????????????? MD5? HMAC變種??????????????????????? md5??????????????????????????????? SHA-1
???????????? 對等體認證方法?????????????????????? 預共享密鑰?????????????????????????? pre-share????????????????????????? RSA簽名
????????????????????????????????????????????????? RSA加密的nonces????????????????????? rsa-encr?????????????????????????? RSA簽名
????????????????????????????????????????????????? RSA簽名????????????????????????????? sig??????????????????????????????? RSA簽名
???????????? 密鑰變換參數???????????????????????? 768 位DH???????????????????????????? 1????????????????????????????????? 768
????????????????????????????????????????????????? 1024 位DH??????????????????????????? 2????????????????????????????????? 768
????????????????????????????????????????????????? 1536 位DH??????????????????????????? 5????????????????????????????????? 768
???????????? 億建立的ISAKMP SA生命期????????????? 可以指定任何秒數???????????????????? --?????????????????????????????? 86400秒（24×60×60一天）
????????????????? 舉例：這里很簡單，不做描述
?????????? 3確定IKE策略（IKE階段2）? 指定IPsec對等體詳細信息，ip地址 ip變換集 ipsec模式 然后配置加密映射將所有IPsec策略細節集中到一起
????????????????? 步驟1 為獲得最佳的安全和性能選擇IPsec算法和參數
????????????????? 步驟2 選擇變換，如果需要，選擇一個變換集
????????????????? 步驟3 確定IPsec對等體詳細信息?? 對等體：別的CISCO路由器?? cisco pix防火墻?? CISCO ×××客戶端?? CA服務器?? 符合IPSEC RFC的其他供??????????????????????? 貨商的IPSEC產品
????????????????? 步驟4 確定將要保護的主機IP地址和應用
????????????????? 步驟5 確定選擇手動初始化或通過IKE初始化SA
?????????????????? CISCO IOS軟件支持的IPsec變換集
????????????????????????????????????????? AH變換集
?????????????????? 變換集?????????????????????????????????? 說明
?????????????????? ah-md5-hmac????????????????????????????? AH-HMAC-MD5變換集
?????????????????? ah-sha-hmac????????????????????????????? AH-HMAC-SHA變換集
?????????????????? AH很少使用，因為esp-sha-hmac和esp-md5-hmac變換集可用于認證。AH變換集模式也和NAT或PAT不兼容
????????????????????????????????????????? ESP變換集
?????????????????? 變換集?????????????????????????????????? 說明
?????????????????? esp-aes????????????????????????????????? 128位AES加密ESP算法
?????????????????? esp-aes????????????????????????????????? 192位AES加密ESP算法
?????????????????? esp-aes????????????????????????????????? 256位AES加密ESP算法
?????????????????? esp-des????????????????????????????????? 使用DES加密的ESP變換集 56位
?????????????????? esp-3des???????????????????????????????? 使用3DES加密的ESP變換集 168位
?????????????????? esp-md5-hmac???????????????????????????? 帶hmac-md5認證的esp-des或esp-3des變換集 為ESP數據包提供附加的完整性檢測
?????????????????? esp-sha-hmac???????????????????????????? 帶hmac-sha認證的esp-des或esp-3des變換集 為ESP數據包提供附加的完整性檢測
?????????????????? esp-null???????????????????????????????? 在生產環境不用它，因為不保護數據流
??????????????????????????????????????????????????????? 可接收的變換集組合
?????????????????? 變換類型?????????????????????????? 允許變換組合
?????????????????? AH變換????????????????????????????? AH-MD5-HMAC? 使用MD5的AH認證算法
?????????????????????????????????????????????????????? AH-SHA-HMAC? 使用SHA的AH認證算法
?????????????????? ESP加密變換???????????????????????? ESP-DES????? 使用56位DES的ESP加密算法
?????????????????????????????????????????????????????? ESP-3DES???? 使用168位DES的ESP加密算法 3DES
?????????????????????????????????????????????????????? ESP-NULL???? 沒有加密算法
?????????????????? ESP認證變換???????????????????????? ESP-MD5-HMAC? 使用MD5的ESP認證算法
?????????????????????????????????????????????????????? ESP-SHA-HAMC? 使用SHA的ESP認證算法
?????????????????? IP壓縮變換????????????????????????? COMP-LZS????? 使用LZS的IP壓縮算法
?????????? 4確保網絡在沒有加密的狀態下正常工作?? 在配置IPsec對等體之前，確保使用想要的IP服務器的基本連接已經在IPsec對等體之間建立
?????????? 5確保訪問控制列表ACL和IPsec兼容??? 確保邊界路由器和IPsec對等體路由器接口允許IPsec流量通過，通過參看show access-list
??????? 2 配置IKE
?????????? 步驟1 crypto isakmp enable? 打開IKE???????????? 如果需要關閉，在前面加no :no crypto isakmp enable
?????????? 步驟2 crypto isakmp policy? 創建IKE策略????????
???????????????? crypto isakmp policy priority (1-10000)1為最高優先級，使用該命令后，進入isakmp策略配置命令模式：
???????????????????????????????????? isakmp配置命令
???????????????? 關鍵字????????? 可接受的值???????????? 默認值???????????? 描述
???????????????? des???????????? 56位DES-CBC??????????? des??????????????? 消息加密算法
???????????????? sha???????????? SHA-1????????????????? Sha??????????????? 消息完整性（散列）算法
???????????????? md5???????????? MD5???????????????????
???????????????? rsa-sig???????? RSA??????????????????? ras-sig??????????? 對等體認證方法
???????????????? rsa-encr??????? RSA???????????????????
???????????????? pre-share?????? Pre-shared keys???????
???????????????? 1?????????????? 768??????????????????? 1????????????????? 密鑰交換參數
???????????????? 2?????????????? 1024
???????????????? 5?????????????? 1536
???????????????? -?????????????? 能指定任何秒數???????? 86400秒??????????? ISAKMP建立的SA生命期：使用默認就可以
?????????????? 配置實例：
????????????????? config t
????????????????? crypto isakmp policy 110
????????????????? authentication pre-share
????????????????? encryption des
????????????????? group 1
????????????????? hash md5
????????????????? lifetime 86400
??????????????? IKE策略協商過程
??????????????? 配置ISAKMP身份??? crypto isakmp identity [address|hostname] ISAKMP協商過程中，IPsec對等體用預共享密鑰和ISAKMP標識來互相認證。
?????????? 步驟3 crypto isakmp key??? 配置預共享密鑰??????
??????????????? 只要在ISAKMP策略中指定預共享密鑰，則必須配置該密鑰。
???????????????? crypto isakmp key keystring address peer-address??? 前面加no可以刪除預共享密鑰
???????????????? crypto isakmp key keystring hostname peer-hostname
???????????????????? keystring--指定預共享密鑰，不超過128字節的數字和字母的任意組合，在對等體上預共享密鑰必須相同
???????????????????? peer-address--遠程對等體IP地址
???????????????????? peer-hostname--遠程對等體主機名
?????????? 步驟4 show crypto isakmp policy 驗證IKE配置???
?????????? 驗證IKE配置：show crypto isakmp policy
??????? 3 配置IPSEC
?????????? 步驟1 crypto ipsec transform-set? 配置變換集
??????????????? 在配置cisco ios ipsec中第一個主要步驟是用ipsec策略來定義一個變換集
??????????????? 變換集：獨立的ipsec變換的組合，這些IPsec變換是設置用來為流量制訂特定的安全策略的。在ISAKMP IPSEC SA的協商過程中它發生在IKE階段2快??????????????? 速模式中，兩端的對等體同意使用一個特定的變換集來保護數據特定的數據流。
??????????????? 變換集包含以下IPsec元素：
??????????????????????? 有效載荷認證機制 AH變換
??????????????????????? 有效載荷加密機制 ESP變換
??????????????????????? IPSEC 模式（傳輸模式和隧道模式）
??????????????? 變換集等于AH變換，ESP變換和IPsec模式的結合，限制于一個AH變換和一到兩個ESP變換。用crypto ipsec transform-set全局配置命令來定義一個??????????????? 變換集，加no可以刪除變換集
??????????????????????? crypto ipsec transform-set? transform-set-name transform1 [transform2[transform3]]
??????????????????????? transform-set-name?? 指定要建立的變換集名稱
??????????????????????? 最多指定3個變換
??????????????? 可以配置多個交換集，然后在加密映射條目中指定一個和多個變換集。
??????????????? 當ISAKMP不被用來建立SA時，必須使用單個變換集，變換集不用經過協商。
??????????????????? 編輯變換集：1從加密映射中刪除變換集
??????????????????????????????? 2從全局配置中刪除變換集
??????????????????????????????? 3用修正值重新輸入變換集
??????????????????????????????? 4將變換集指定到加密映射
??????????????????????????????? 5用clear crypto sa命令來清除路由器上所有的IPsec SA
???????????????????????????????? clear crypto sa [peer [vrf fvrf-name]address |map map-name|entry destination-address?????
???????????????????????????????? protocal spi|counters|vrf?? ivff-name]
???????????????????????????????? peer 刪除特定的對等體所有的ipsec SA
???????????????????????????????? map?? 刪除命令的加密映射集所有IPsec SA
???????????????????????????????? map-name?? 指定加密映射集的名稱
???????????????????????????????? entry?? 用指定的地址，協議和SPI刪除IPsec SA
???????????????????????????????? destination-address?? 指定遠程對等體的ip地址
??????????????????????????????? 6觀察SA協商，確保它正常工作
??????????????????? 變換集協商：通過使用之前配置的變換集，在IKE階段2快速模式過程中協商變換集。
??????????????????????????????? 可以配置多個變換集，然后再加密映射條目中指定一個或多個變換集。最高安全到最低安全，配置變換作為每個策略。
?????????? 步驟2 crypto ipsec security-association 配置全局IPsec安全關聯生命期
???????????????? crypto ipsec security-association lifetime [seconds |kilobytes]
?????????? 步驟3 access-list命令配置加密ACL
???????????????? 加密ACL的目的
???????????????? 用于加密ACL的擴展IP ACL
???????????????? 配置對稱對等體加密ACL
?????????? 步驟4 crypto map 配置加密映射
???????????????? 加密映射的目的
???????????????????? 建立加密映射條目來為IPsec建立SA參數，配合IPsec 不同部分。
???????????????? 加密映射參數
???????????????????? 加密映射定義以下參數：
???????????????????????? 要使用的訪問列表??? 遠程×××對等體? 要使用的變換集? 密鑰管理方法? SA生命期
?????????????????????? 如果存在以下任何情況，必須為給定的接口建立多個加密映射條目：
???????????????? 配置IPsec加密映射
???????????????????? crypto map map-name seq-num cisco（默認值，CET會代替IPsec）|ipsec-manual （不用ISAKMP來建立IPsec SA）|ipsec-isakmp
??????????????????? （用ISAKMP來建立IPsec SA）
?????????????????? 實例：為路由器A配置加密映射
???????????????????????? config t
???????????????????????? crypto map mymap 110 ipsec-isakmp
???????????????????????? match address 110
???????????????????????? set peer 172.30.2.2
???????????????????????? set peer 172.30.3.2
???????????????????????? set pfs group1
???????????????????????? set transform-set mine
???????????????????????? set security-association lifetime 86400
?????????? 步驟5 interface 和 crypto 命令將加密映射應用到終止或發起接口
???????????????????????? crypto map map-name
??????? 4 測試和驗證IPSEC
????????? show crypto isakmp policy? 顯示配置的IKE策略
????????? show crypto ipsec transform set 顯示配置的變換集
????????? show crypto ipsec sa? 顯示ipsec sa的當前狀態
????????? show crypto map?? 查看配置的加密映射
????????? debug crypto ipsec 和debug crypto isakmp命令通過cisco ios平臺來調試IKE和ipsec流量
??????? 5 isakmp加密系統錯誤信息
????????? %CRYPTO-6-IKMP_SA_NOT_AUTH:cannot accept quick mode exchange from [IP_address]if sa is not authenticated! 遠程對等體的ISAKMP SA沒有認證????????? ，而對等體卻試圖開始開速模式交換
????????? %CRYPTO-6-IKMP_SA_NOT_OFFERED:remote peer [IP_address] responded with attribute not offered or changed 回應者用一個發起者沒有提供的????????? ISAKMP策略作為回應。
手動配置IPSec
????????? 可以手動配置密鑰。
????????? 在加密映射配置模式下，使用set session-key命令為加密映射條目手動指定IPSec會話密鑰。
????????? set session-key {inbound |outbound} ah spi hex-key-string
????????? set session-key {inbound |outbound} esp spi cipher hex-key-string [authenticator hex-key-string]
????????????? inbound? 設定輸入IPsec會話密鑰
????????????? outbound? 設定輸出IPsec會話密鑰
????????????? ah? 為AH協議設置IPsec會話密鑰
????????????? esp? 為ESP協議設置IPsec會話密鑰
????????????? spi? 指定SPI,該數字用來唯一確定SA
????????????? hex-key-string 指定會話密鑰，用十六進制格式輸入
????????????? cipher 指示密鑰字符串用于ESP加密變換
????????????? authenticator（可選）
????????????? 在一個對等體上的會話密鑰必須和遠程對等體的會話密鑰相匹配，如果修改一個會話密鑰，則在使用該密鑰的SA被刪除，被重新初始化
????????????? 重點：不建議手動配置IPsec.CISCO建議使用ISAKMP來建立SA,因為通過手動配置確保兩個對等體之間SA值匹配時很難的。
????????????? DH是一種更加安全的在對等體之間產生密鑰的方法。
??????????????????? 其他手動配置缺點：擴展性不好，而且不安全
????????????????????????????????????? 手動建立SA不會過期
????????????????????????????????????? 手動加密映射條目建立的SA只用于單一的數據流
????????????????????????????????????? 標記為ipsec-manual的加密映射條目的ACL被限制為只能用一條permit語句，后面將被忽略。
使用RSA加密Nonces配置IPsec
???????????????? RSA加密Nonces提供了認證IPsec對等體和DH密鑰交換的一種有力的方法。RSA加密Nonces提供了不可否認性，一種可以阻止第三方在網絡上跟蹤活???????????????? 動的屬性。RSA加密Nonces要求對等體具有彼此公鑰，但不要使用CA。對等體有兩種可以替代的方法來獲取對方的公鑰1手動配置和交換RSA密鑰2與???????????????? 遠程對等體使用在之前的成功ISAKMP協商中使用的RSA簽名
???????????????? RSA加密Nonces配置過程：
???????????????? 任務1 為IKE和IPSEC準備
???????????????? 任務2 配置RSA密鑰
?????????????????????? 步驟1 為SA密鑰作計劃
?????????????????????? 步驟2 配置路由器主機名和域名? hostname name?? ；ip domain-name name
?????????????????????? 步驟3 生成RSA密鑰? crypto key generate rsa usage keys
?????????????????????? 步驟4 輸入對等體的公鑰?
???????????????????????????? 這里有好幾個步驟，一定要注意：
??????????????????????????????? crypto key pubkey-chain
??????????????????????????????? crypto key pubkey-chain rsa
??????????????????????????????? addressed-key key-address
??????????????????????????????? named-key key-name
?????????????????????? 步驟5 驗證密鑰配置
???????????????????????????? show crypto key mypubkey rsa
???????????????????????????? show crypto key pubkey-chain rsa
?????????????????????? 步驟6 管理RSA密鑰
???????????????????????????? crypto key zeroize rsa
???????????????? 任務3 配置IKE
???????????????? 任務4 配置IPSEC
???????????????? 任務5 測試和驗證IPSEC
和IPSEC一起使用NAT
????????????????
????????????????
×××-IPSEC總結
?? cisco支持一下IPSEC標準：AH,ESP,DES,3DES,MD5,SHA,RSA簽名，IKE，DH和CA
?? ipsec有5個步驟：確定感興趣的流量，IKE階段1，IKE階段2，IPsec加密流量和隧道終結
?? ipsec SA包含目的地址，SPI,IPSEC變換，模式和SA生命值
?? 在可以配置前定義詳細的加密IKE和IPSEC策略
?? 取確保路由器的ACL允許IPSEC流量
?? IKE策略定義在IKE協商過程中使用的參數
?? 變換集確定IPSEC變換和模式
?? 加密ACL確定要加密的流量
?? 用show和debug命令來對IPSEC連接做測試和故障檢測
?? ipsec也可以手動配置或使用加密的nonces

轉載于:https://blog.51cto.com/wangxiang2010/142654

總結

以上是生活随笔為你收集整理的使用IKE预共享密钥配置IPsec的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。