包含ipsecclient的词条(ipsec client 服务老是启动失败,干脆我把它关了,对系统有影响吗)

ipsec client 服务老是启动失败,干脆我把它关了,对系统有影响吗

它是一种安全保障方式，假设咱们俩发送信息

用IPSEC保护

这段信息我发送后就被IPSEC加密，到你那边再解密

这样就算中间有人拦截了但是是加密的所以无法读取

WINDOWS2000以上支持IPSEC了

如果你没有这方面的需要，完全可以禁止它自动启动

关于IPsec 虚拟专用网络 client-to-site 方式的请教

引用:原帖由

于

2012-3-8

21:23

发表

旁路是个啥情况，你的site指的哪里的设备，防火墙吗？

思科IPSec基本命令

一、IPSec一些基本命令。

R1(config)#crypto ?

dynamic-map Specify a dynamic crypto map template

//创建或修改一个动态加密映射表

ipsec Configure IPSEC policy

//创建IPSec安全策略

isakmp Configure ISAKMP policy

//创建IKE策略

key Long term key operations

//为路由器的SSH加密会话产生加密密钥。后面接数值，是key modulus size，单位为bit

map Enter a crypto map

//创建或修改一个普通加密映射表

Router(config)#crypto dynamic-map ?

WORD Dynamic crypto map template tag

//WORD为动态加密映射表名

Router(config)#crypto ipsec ?

security-association Security association parameters

// ipsec安全关联存活期，也可不配置，在map里指定即可

transform-set Define transform and settings

//定义一个ipsec变换集合(安全协议和算法的一个可行组合)

Router(config)#crypto isakmp ?

client Set client configuration policy

//建立地址池

enable Enable ISAKMP

//启动IKE策略，默认是启动的

key Set pre-shared key for remote peer

//设置密钥

policy Set policy for an ISAKMP protection suite

//设置IKE策略的优先级

Router(config)#crypto key ?

generate Generate new keys

//生成新的密钥

zeroize Remove keys

//移除密钥

Router(config)#crypto map ?

WORD Crypto map tag

//WORD为map表名

二、一些重要命令。

Router(config)#crypto isakmp policy ?

1-10000 Priority of protection suite

//设置IKE策略，policy后面跟1-10000的数字，这些数字代表策略的优先级。

Router(config)#crypto isakmp policy 100//进入IKE策略配置模式，以便做下面的配置

Router(config-isakmp)#encryption ?//设置采用的’加密方式，有以下三种

3des Three key triple DES

aes AES – Advanced Encryption Standard

des DES – Data Encryption Standard (56 bit keys).

Router(config-isakmp)#hash ? //采用的散列算法，MD5为160位，sha为128位。

md5 Message Digest 5

sha Secure Hash Standard

Router(config-isakmp)#authentication pre-share//采用预共享密钥的认证方式

Router(config-isakmp)#group ?//指定密钥的位数，越往下安全性越高，但加密速度越慢

1 Diffie-Hellman group 1

2 Diffie-Hellman group 2

5 Diffie-Hellman group 5

Router(config-isakmp)#lifetime ? //指定安全关联生存期，为60-86400秒

60-86400 lifetime in seconds

Router(config)#crypto isakmp key *** address XXX.XXX.XXX.XXX

//设置IKE交换的密钥，***表示密钥组成，XXX.XXX.XXX.XXX表示对方的IP地址

Router(config)#crypto ipsec transform-set zx ?

//设置IPsec交换集，设置加密方式和认证方式，zx是交换集名称，可以自己设置，两端的名字也可不一样，但其他参数要一致。

ah-md5-hmac AH-HMAC-MD5 transform

ah-sha-hmac AH-HMAC-SHA transform

esp-3des ESP transform using 3DES(EDE) cipher (168 bits)

esp-aes ESP transform using AES cipher

esp-des ESP transform using DES cipher (56 bits)

esp-md5-hmac ESP transform using HMAC-MD5 auth

esp-sha-hmac ESP transform using HMAC-SHA auth

例：Router(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac

Router(config)#crypto map map_zx 100 ipsec-isakmp

//建立加密映射表，zx为表名，可以自己定义，100为优先级(可选范围1-65535)，如果有多个表，数字越小的越优先工作。

Router(config-crypto-map)#match address ?//用ACL来定义加密的通信

100-199 IP access-list number

WORD Access-list name

Router(config-crypto-map)#set ?

peer Allowed Encryption/Decryption peer.//标识对方路由器IP地址

pfs Specify pfs settings//指定上面定义的密钥长度，即group

security-association Security association parameters//指定安全关联的生存期

transform-set Specify list of transform sets in priority order

//指定加密图使用的IPSEC交换集

router(config-if)# crypto map zx

//进入路由器的指定接口，应用加密图到接口，zx为加密图名。

三、一个配置实验。

实验拓扑图：

1.R1上的配置。

Routerenable

Router#config terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#hostname R1

//配置IKE策略

R1(config)#crypto isakmp enable

R1(config)#crypto isakmp policy 100

R1(config-isakmp)#encryption des

R1(config-isakmp)#hash md5

R1(config-isakmp)#authentication pre-share

R1(config-isakmp)#group 1

R1(config-isakmp)#lifetime 86400

R1(config-isakmp)#exit

//配置IKE密钥

R1(config)#crypto isakmp key 123456 address 10.1.1.2

//创建IPSec交换集

R1(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac

//创建映射加密图

R1(config)#crypto map zx_map 100 ipsec-isakmp

R1(config-crypto-map)#match address 111

R1(config-crypto-map)#set peer 10.1.1.2

R1(config-crypto-map)#set transform-set zx

R1(config-crypto-map)#set security-association lifetime seconds 86400

R1(config-crypto-map)#set pfs group1

R1(config-crypto-map)#exit

//配置ACL

R1(config)#access-list 111 permit ip 192.168.1.10 0.0.0.255 192.168.2.10 0.0.0.255

//应用加密图到接口

R1(config)#interface s1/0

R1(config-if)#crypto map zx_map

2.R2上的配置。

与R1的配置基本相同，只需要更改下面几条命令：

R1(config)#crypto isakmp key 123456 address 10.1.1.1

R1(config-crypto-map)#set peer 10.1.1.1

R1(config)#access-list 111 permit ip 192.168.2.10 0.0.0.255 192.168.1.10 0.0.0.255

3.实验调试。

在R1和R2上分别使用下面的命令，查看配置信息。

R1#show crypto ipsec ?

sa IPSEC SA table

transform-set Crypto transform sets

R1#show crypto isakmp ?

policy Show ISAKMP protection suite policy

sa Show ISAKMP Security Associations

四、相关知识点。

对称加密或私有密钥加密：加密解密使用相同的私钥

DES–数据加密标准 data encryption standard

3DES–3倍数据加密标准 triple data encryption standard

AES–高级加密标准 advanced encryption standard

一些技术提供验证：

MAC–消息验证码 message authentication code

HMAC–散列消息验证码 hash-based message authentication code

MD5和SHA是提供验证的散列函数

对称加密被用于大容量数据，因为非对称加密站用大量cpu资源

非对称或公共密钥加密：

RSA rivest-shamir-adelman

用公钥加密，私钥解密。公钥是公开的，但只有私钥的拥有者才能解密

两个散列常用算法：

HMAC-MD5 使用128位的共享私有密钥

HMAC-SHA-I 使用160位的私有密钥

ESP协议：用来提供机密性，数据源验证，无连接完整性和反重放服务，并且通过防止流量分析来限制流量的机密性，这些服务以来于SA建立和实现时的选择。

加密是有DES或3DES算法完成。可选的验证和数据完整性由HMAC，keyed SHA-I或MD5提供

IKE–internet密钥交换：他提供IPSEC对等体验证，协商IPSEC密钥和协商IPSEC安全关联

实现IKE的组件

1：des，3des 用来加密的方式

2：Diffie-Hellman 基于公共密钥的加密协议允许对方在不安全的信道上建立公共密钥，在IKE中被用来建立会话密钥。group 1表示768位，group 2表示1024位

3：MD5，SHA–验证数据包的散列算法。RAS签名–基于公钥加密系统

如何使用 IPSec

安装CISCO IPSEC 客户端

1解压下载的安装包后,点击虚拟专用网络-client-2.2.2-release.exe启动安装程序,只需在第二步时把默认的professional改为standard,其它部分只需一直按next即可.

包里一共有三个文件,sites目录包含卓越虚拟专用网络配置文件,bat结尾的为脚本文件，用来启动ipsec客户端的，可以把它拷到桌面便于启用。

CISCO IPSEC配置文件

2输入虚拟专用网络用户名和密码

右击bat结尾的脚本文件,选择编辑。可用记事本或其它文本编辑器打开该文件

设置用户名和密码CISCO IPSEC

3填入虚拟专用网络信息

,按图中所示输入你的虚拟专用网络用户名和密码

切记不要编辑未提及的其它参数

CISCO IPSEC连接成功

4开始连接

保存修改好的配置文件后,直接双击卓越虚拟专用网络-ipsec.bat即可开始通过CISCO IPSEC连接虚拟专用网络

server-switch.png

5更换服务器地址

如果服务器无法连接或因为别的原因需要更换服务器，可参照下面的图更换服务器：

------本页内容已结束，喜欢请分享------

感谢您的来访，获取更多精彩文章请收藏本站。