vpn-5cisco的路由VPN技术.ppt
《vpn-5cisco的路由VPN技术.ppt》由会员分享,可在线阅读,更多相关《vpn-5cisco的路由VPN技术.ppt(40页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、 Cisco 路由器的路由器的VPN技术技术一般我们设计VPN网络的设备选择依据我们一般用路由器做site-tosite的VPN我们一般用VPN3000这样的集中器做remoteVPN(价格考虑)路由器起VPN的优势1.数据传输IPSEC有一些局限性,但是路由器不光支持IPSEC,他还支持GRE2.可以采用动态的多点VPN DMVPN技术可以对RIP.,IGRP,EGIRP,BGP的支持,只有路由器可以做,PIX不支持,只支持隧道,但是IOS7.0 版本以上的除外。3.介质的转换ATM,FR,ISDN,DSL,以太网,点对点4.QOS支持比如说两点之间起语音和视频路由器上支持的QOS1.FIF
2、O2.CBWFQ3.CQ定制队列4.CBLLQ基于类别的低延迟队列5.IP RTP 多媒体应用程序6.WRRQ权重的轮循队列7.PQ优先级队列路由器的ISAKMP/IKE阶段一的建立过程1.允许IPsec的流量hssj(config)#access-list 101 per udp any any eq 500 hssj(config)#access-list 101 per ahp any any hssj(config)#access-list 101 per esp any anyhssj(config)#access-list 101 per udp any any eq 45002.
3、定义一个isakmp/ike的策略 启用isakmp:hssj(config)#crypto isakmp enable 建立策略:(对管理的连接建立的验证和保护)hssj(config)#crypto isakmp policy 10其中序号的作用是越小越优先,可以有多个策略的存在hssj(config-isakmp)#encryption 3des选择加密的格式hssj(config-isakmp)#hash md5对HMAC的建立hssj(config-isakmp)#authentication pre-share 选择共享密钥hssj(config-isakmp)#group?1 D
4、iffie-Hellman group 1 2 Diffie-Hellman group 2 5 Diffie-Hellman group 5hssj(config-isakmp)#lifetime 86400*策略越低越优先,最安全的策略是1,最不安全的策略是10000hssj#show crypto isakmp policy Global IKE policyProtection suite of priority 10 encryption algorithm:Three key triple DES hash algorithm:Message Digest 5 authentica
5、tion method:Pre-Shared Key Diffie-Hellman group:#1(768 bit)lifetime:86400 seconds,no volume limitDefault protection suite encryption algorithm:DES-Data Encryption Standard(56 bit keys).hash algorithm:Secure Hash Standard authentication method:Rivest-Shamir-Adleman Signature Diffie-Hellman group:#1(7
6、68 bit)lifetime:86400 seconds,no volume limit对等体协商的策略b#sh crypto isakmp policy Global IKE policyProtection suite of priority 2 encryption algorithm:Three key triple DES hash algorithm:Secure Hash Standard authentication method:Pre-Shared Key Diffie-Hellman group:#2(1024 bit)lifetime:3600 seconds,no
7、volume limitProtection suite of priority 1 encryption algorithm:DES-Data Encryption Standard(56 bit keys).hash algorithm:Message Digest 5 authentication method:Pre-Shared Key Diffie-Hellman group:#1(768 bit)lifetime:86400 seconds,no volume limitB:b#sh crypto isakmp policy Global IKE policyProtection
8、 suite of priority 2 encryption algorithm:Three key triple DES hash algorithm:Secure Hash Standard authentication method:Pre-Shared Key Diffie-Hellman group:#2(1024 bit)lifetime:3600 seconds,no volume limitProtection suite of priority 1 encryption algorithm:DES-Data Encryption Standard(56 bit keys).
9、hash algorithm:Message Digest 5 authentication method:Pre-Shared Key Diffie-Hellman group:#1(768 bit)lifetime:86400 seconds,no volume limit当2个对等体之间发生策略的比较的时候,他们不光看序号,他们要比较策略的相同性A 策略1B策略1比较,不同 A策略1B策略2比较,相同,连接*注意的一点:lifetime:86400 seconds,no volume limit这个数值可以不同,他取最小的那个值为标准。启动IKE的死亡对等体DPD,作用就是用keepal
10、ive报文,来验证对方是否存在周期性:周期的发送keepalive报文按需:按照需要去发送a(config)#crypto isakmp keepalive?Number of seconds between keep alives这个值可以手动设置,他也有默认的值a#debug crypto isakmpCrypto ISAKMP debugging is onISAKMP/IKE阶段一的设备验证Cisco支持3种:pre-share Pre-Shared Key 预共享密钥 rsa-encr Rivest-Shamir-Adleman Encryption RSA加密随机数 rsa-sig
11、 Rivest-Shamir-Adleman Signature RSA签名(证书)命令:a(config)#crypto isakmp identity?address Use the IP address of the interface for the identity dn Use the distinguished name of the router cert for the identity hostname Use the hostname of the router for the identity你可以利用hostname来建立验证表,IP add最多可以到8个ipadd预
12、共享密钥1.预共享密钥a(config)#crypto isakmp key hssj address 10.1.1.2 对对段的设备加以密码控制2.保护预共享密钥a(config)#key config-key?Configuration key number把明文变成密文3.查看预共享密钥a#show crypto isakmp key Keyring Hostname/Address Preshared Keydefault 10.1.1.2 hssjRSA加密随机数理论思路:1.建立公钥和私钥的密钥对2.共享公钥实验的过程:1.产生RSA的加密随机数hssj-1(config)#hos
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- vpn cisco 路由 技术
限制150内