“Internet 協議安全性 (IPSec)”是一種開放標準的框架結構����,通過使用加密的安全服務以確保在 Internet 協議 (IP) 網絡上進行保密而安全的通訊����。Microsoft Windows 2000��、Windows XP 和 WindowsServer 2003 家族實施 IPSec 是基于“Internet 工程任務組 (IETF)”IPSec 工作組開發的標準��。
IPSec(InternetProtocolSecurity)是安全聯網的長期方向���。它通過端對端的安全性來提供主動的保護以防止專用網絡與 Internet 的攻擊���。在通信中���,只有發送方和接收方才是唯一必須了解 IPSec 保護的計算機���。在 Windows 2000���、Windows XP 和 Windows Server 2003 家族中��,IPSec 提供了一種能力�����,以保護工作組�����、局域網計算機�、域客戶端和服務器���、分支機構(物理上為遠程機構)�����、Extranet 以及漫游客戶端之間的通信����。
IPSec是IETF(Internet Engineering Task Force�����,Internet工程任務組)的IPSec小組建立的一組IP安全協議集��。IPSec定義了在網際層使用的安全服務�,其功能包括數據加密�、對網絡單元的訪問控制��、數據源地址驗證����、數據完整性檢查和防止重放攻擊�����。
IPSec的安全服務要求支持共享密鑰完成認證和/或保密�,并且手工輸入密鑰的方式是必須要支持的����,其目的是要保證IPSec協議的互操作性��。當然�,手工輸入密鑰方式的擴展能力很差�����,因此在IPSec協議中引入了一個密鑰管理協議�,稱Internet密鑰交換協議——IKE��,該協議可以動態認證IPSec對等體��,協商安全服務���,并自動生成共享密鑰�。
以下是IPSec VPN實驗
配置命令:
Site1:
hostname Site1
!
no ip domain lookup
ip cef
!
crypto isakmp key cisco address 200.1.1.1
!
crypto ipsec transform-set cisco esp-des esp-md5-hmac
mode tunnel
!
crypto map cisco 10 ipsec-isakmp
set peer 200.1.1.1
set transform-set cisco
match address cisco
!
interface Loopback0
no shutdown
ip address 172.168.1.1 255.255.255.0
!
interface Ethernet0/0
no shutdown
ip address 100.1.1.1 255.255.255.0
crypto map cisco
!
ip route 192.168.1.0 255.255.255.0 100.1.1.2
ip route 200.1.1.0 255.255.255.0 100.1.1.2
!
ip access-list extended cisco
permit ip 172.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255
Internet:
hostname Internet
no ip domain lookup
ip cef
no ipv6 cef
!
interface Ethernet0/0
no shutdown
ip address 100.1.1.2 255.255.255.0
!
interface Ethernet0/1
no shutdown
ip address 200.1.1.2 255.255.255.0
Site2:
hostname Site2
!
no ip domain lookup
ip cef
no ipv6 cef
!
crypto isakmp key cisco address 100.1.1.1
!
crypto ipsec transform-set cisco esp-des esp-md5-hmac
mode tunnel
!
crypto map cisco 10 ipsec-isakmp
set peer 100.1.1.1
set transform-set cisco
match address cisco
!
interface Loopback0
no shutdown
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/1
no shutdown
ip address 200.1.1.1 255.255.255.0
crypto map cisco
!
ip route 100.1.1.0 255.255.255.0 200.1.1.2
ip route 172.168.1.0 255.255.255.0 200.1.1.2
!
ip access-list extended cisco
permit ip 192.168.1.0 0.0.0.255 172.168.1.0 0.0.0.255
18922156670
