包含ipsecclient的词条(ipsec client 服务老是启动失败,干脆我把它关了,对系统有影响吗)

ipsec client 服务老是启动失败,干脆我把它关了,对系统有影响吗

它是一种安全保障方式,假设咱们俩发送信息

用IPSEC保护

这段信息我发送后就被IPSEC加密,到你那边再解密

这样就算中间有人拦截了但是是加密的所以无法读取

WINDOWS2000以上支持IPSEC了

如果你没有这方面的需要,完全可以禁止它自动启动

关于IPsec 虚拟专用网络 client-to-site 方式的请教

引用:原帖由

2012-3-8

21:23

发表

旁路是个啥情况,你的site指的哪里的设备,防火墙吗?

思科IPSec基本命令

一、IPSec一些基本命令。

R1(config)#crypto ?

dynamic-map Specify a dynamic crypto map template

//创建或修改一个动态加密映射表

ipsec Configure IPSEC policy

//创建IPSec安全策略

isakmp Configure ISAKMP policy

//创建IKE策略

key Long term key operations

//为路由器的SSH加密会话产生加密密钥。后面接数值,是key modulus size,单位为bit

map Enter a crypto map

//创建或修改一个普通加密映射表

Router(config)#crypto dynamic-map ?

WORD Dynamic crypto map template tag

//WORD为动态加密映射表名

Router(config)#crypto ipsec ?

security-association Security association parameters

// ipsec安全关联存活期,也可不配置,在map里指定即可

transform-set Define transform and settings

//定义一个ipsec变换集合(安全协议和算法的一个可行组合)

Router(config)#crypto isakmp ?

client Set client configuration policy

//建立地址池

enable Enable ISAKMP

//启动IKE策略,默认是启动的

key Set pre-shared key for remote peer

//设置密钥

policy Set policy for an ISAKMP protection suite

//设置IKE策略的优先级

Router(config)#crypto key ?

generate Generate new keys

//生成新的密钥

zeroize Remove keys

//移除密钥

Router(config)#crypto map ?

WORD Crypto map tag

//WORD为map表名

二、一些重要命令。

Router(config)#crypto isakmp policy ?

1-10000 Priority of protection suite

包含ipsecclient的词条(ipsec client 服务老是启动失败,干脆我把它关了,对系统有影响吗)

//设置IKE策略,policy后面跟1-10000的数字,这些数字代表策略的优先级。

Router(config)#crypto isakmp policy 100//进入IKE策略配置模式,以便做下面的配置

Router(config-isakmp)#encryption ?//设置采用的’加密方式,有以下三种

3des Three key triple DES

aes AES – Advanced Encryption Standard

des DES – Data Encryption Standard (56 bit keys).

Router(config-isakmp)#hash ? //采用的散列算法,MD5为160位,sha为128位。

md5 Message Digest 5

sha Secure Hash Standard

Router(config-isakmp)#authentication pre-share//采用预共享密钥的认证方式

Router(config-isakmp)#group ?//指定密钥的位数,越往下安全性越高,但加密速度越慢

1 Diffie-Hellman group 1

2 Diffie-Hellman group 2

5 Diffie-Hellman group 5

Router(config-isakmp)#lifetime ? //指定安全关联生存期,为60-86400秒

60-86400 lifetime in seconds

Router(config)#crypto isakmp key *** address XXX.XXX.XXX.XXX

//设置IKE交换的密钥,***表示密钥组成,XXX.XXX.XXX.XXX表示对方的IP地址

Router(config)#crypto ipsec transform-set zx ?

//设置IPsec交换集,设置加密方式和认证方式,zx是交换集名称,可以自己设置,两端的名字也可不一样,但其他参数要一致。

ah-md5-hmac AH-HMAC-MD5 transform

ah-sha-hmac AH-HMAC-SHA transform

esp-3des ESP transform using 3DES(EDE) cipher (168 bits)

esp-aes ESP transform using AES cipher

esp-des ESP transform using DES cipher (56 bits)

esp-md5-hmac ESP transform using HMAC-MD5 auth

esp-sha-hmac ESP transform using HMAC-SHA auth

例:Router(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac

Router(config)#crypto map map_zx 100 ipsec-isakmp

//建立加密映射表,zx为表名,可以自己定义,100为优先级(可选范围1-65535),如果有多个表,数字越小的越优先工作。

Router(config-crypto-map)#match address ?//用ACL来定义加密的通信

100-199 IP access-list number

WORD Access-list name

Router(config-crypto-map)#set ?

peer Allowed Encryption/Decryption peer.//标识对方路由器IP地址

pfs Specify pfs settings//指定上面定义的密钥长度,即group

security-association Security association parameters//指定安全关联的生存期

transform-set Specify list of transform sets in priority order

//指定加密图使用的IPSEC交换集

router(config-if)# crypto map zx

//进入路由器的指定接口,应用加密图到接口,zx为加密图名。

三、一个配置实验。

实验拓扑图:

1.R1上的配置。

Routerenable

Router#config terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#hostname R1

//配置IKE策略

R1(config)#crypto isakmp enable

R1(config)#crypto isakmp policy 100

R1(config-isakmp)#encryption des

R1(config-isakmp)#hash md5

R1(config-isakmp)#authentication pre-share

R1(config-isakmp)#group 1

R1(config-isakmp)#lifetime 86400

R1(config-isakmp)#exit

//配置IKE密钥

R1(config)#crypto isakmp key 123456 address 10.1.1.2

//创建IPSec交换集

R1(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac

//创建映射加密图

R1(config)#crypto map zx_map 100 ipsec-isakmp

R1(config-crypto-map)#match address 111

R1(config-crypto-map)#set peer 10.1.1.2

R1(config-crypto-map)#set transform-set zx

R1(config-crypto-map)#set security-association lifetime seconds 86400

R1(config-crypto-map)#set pfs group1

R1(config-crypto-map)#exit

//配置ACL

R1(config)#access-list 111 permit ip 192.168.1.10 0.0.0.255 192.168.2.10 0.0.0.255

//应用加密图到接口

R1(config)#interface s1/0

R1(config-if)#crypto map zx_map

2.R2上的配置。

与R1的配置基本相同,只需要更改下面几条命令:

R1(config)#crypto isakmp key 123456 address 10.1.1.1

R1(config-crypto-map)#set peer 10.1.1.1

R1(config)#access-list 111 permit ip 192.168.2.10 0.0.0.255 192.168.1.10 0.0.0.255

3.实验调试。

在R1和R2上分别使用下面的命令,查看配置信息。

R1#show crypto ipsec ?

sa IPSEC SA table

transform-set Crypto transform sets

R1#show crypto isakmp ?

policy Show ISAKMP protection suite policy

sa Show ISAKMP Security Associations

四、相关知识点。

对称加密或私有密钥加密:加密解密使用相同的私钥

DES–数据加密标准 data encryption standard

3DES–3倍数据加密标准 triple data encryption standard

AES–高级加密标准 advanced encryption standard

一些技术提供验证:

MAC–消息验证码 message authentication code

HMAC–散列消息验证码 hash-based message authentication code

MD5和SHA是提供验证的散列函数

对称加密被用于大容量数据,因为非对称加密站用大量cpu资源

非对称或公共密钥加密:

RSA rivest-shamir-adelman

用公钥加密,私钥解密。公钥是公开的,但只有私钥的拥有者才能解密

两个散列常用算法:

HMAC-MD5 使用128位的共享私有密钥

HMAC-SHA-I 使用160位的私有密钥

ESP协议:用来提供机密性,数据源验证,无连接完整性和反重放服务,并且通过防止流量分析来限制流量的机密性,这些服务以来于SA建立和实现时的选择。

加密是有DES或3DES算法完成。可选的验证和数据完整性由HMAC,keyed SHA-I或MD5提供

IKE–internet密钥交换:他提供IPSEC对等体验证,协商IPSEC密钥和协商IPSEC安全关联

实现IKE的组件

1:des,3des 用来加密的方式

2:Diffie-Hellman 基于公共密钥的加密协议允许对方在不安全的信道上建立公共密钥,在IKE中被用来建立会话密钥。group 1表示768位,group 2表示1024位

3:MD5,SHA–验证数据包的散列算法。RAS签名–基于公钥加密系统

如何使用 IPSec

安装CISCO IPSEC 客户端

1解压下载的安装包后,点击虚拟专用网络-client-2.2.2-release.exe启动安装程序,只需在第二步时把默认的professional改为standard,其它部分只需一直按next即可.

包里一共有三个文件,sites目录包含卓越虚拟专用网络配置文件,bat结尾的为脚本文件,用来启动ipsec客户端的,可以把它拷到桌面便于启用。

CISCO IPSEC配置文件

2输入虚拟专用网络用户名和密码

右击bat结尾的脚本文件,选择编辑。可用记事本或其它文本编辑器打开该文件

设置用户名和密码CISCO IPSEC

3填入虚拟专用网络信息

,按图中所示输入你的虚拟专用网络用户名和密码

切记不要编辑未提及的其它参数

CISCO IPSEC连接成功

4开始连接

保存修改好的配置文件后,直接双击卓越虚拟专用网络-ipsec.bat即可开始通过CISCO IPSEC连接虚拟专用网络

server-switch.png

5更换服务器地址

如果服务器无法连接或因为别的原因需要更换服务器,可参照下面的图更换服务器:


------本页内容已结束,喜欢请分享------

感谢您的来访,获取更多精彩文章请收藏本站。

© 版权声明
THE END
全新SD-WAN方案,IPLC、IEPL全球组网,搭建企业私有专线内网,实现全球高速互联!基于国外网络专线加速产品,为出海社交电商提供一站式直播、带货的海外网络专线设施服务!
点赞8 分享
评论 抢沙发
头像
欢迎您微信来电咨询!
提交
头像

昵称

取消
昵称表情

    暂无评论内容