安全第三天L2L高級(jí)特性_第1頁(yè)
安全第三天L2L高級(jí)特性_第2頁(yè)
安全第三天L2L高級(jí)特性_第3頁(yè)
安全第三天L2L高級(jí)特性_第4頁(yè)
安全第三天L2L高級(jí)特性_第5頁(yè)
已閱讀5頁(yè),還剩22頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

L2L高級(jí)特性郭CCIE

RS/Security/Denter第一天:加密學(xué)與IPSec基本原理第二天:IKEv1、L2L實(shí)例第三天:L2L-第四天:IPSec第五天:IPSec高級(jí)特性網(wǎng)絡(luò)穿越問(wèn)題高可用性技術(shù)第六天:傳統(tǒng)的VPDN技術(shù)第七天:DM第八天:GRT第九天:EZ第十天:SSL技術(shù)技術(shù)技術(shù)和ASA策略拓?fù)浼夹g(shù)L2L

高級(jí)特性ISAKMP

ProfileISAKMP

Profile

QOS運(yùn)用ISAKMP

Profile

認(rèn)證管理ISAKMP

Profile

VRF

運(yùn)用動(dòng)態(tài)地址

解決方案動(dòng)態(tài)MAP

VS

靜態(tài)MAP動(dòng)態(tài)

解析技術(shù)介紹EZ

完美解決方案NAT對(duì)

的影響SVTI技術(shù)介紹ISAKMP

ProfileISAKMP

ProfileISAKMP

Profile:ISAKMP參數(shù)到IPSEC隧道(第一階段策略到第二階段策略),ISAKMP

Profile主要運(yùn)用于VRF認(rèn)證管理、IPSec/QOS配置----解決一個(gè)站點(diǎn)和多個(gè)站點(diǎn),建立多種類(lèi)型的時(shí)候。普遍運(yùn)用于一個(gè)設(shè)備和不同站點(diǎn)配置多個(gè)IPSec隧道,并且每個(gè)站點(diǎn)需要不同第一階段策略的場(chǎng)合。、ISAKMP

Profilematch

identity:EZ

可以匹配groupL2L可以匹配IP

address認(rèn)證可以匹配的全FQDNISAKMP

Profile

示意圖ISAKMP

Profile

1Step1

:匹配遠(yuǎn)端設(shè)備match

identity

addressSite1

IPaddressStep2:

認(rèn)證方式Keyring

Site1keyStep3:高級(jí)策略(可選)QOSISAKMP

Profile

2Step1

:匹配遠(yuǎn)端設(shè)備matchmap

ciscoStep2:

認(rèn)證方式CA

trust-pointStep3:高級(jí)策略(可選)VRFISAKMP

Profile3Step1

:匹配遠(yuǎn)端設(shè)備

match

identity

groupSite1

IPaddressStep2:

認(rèn)證方式AAA

listStep3:高級(jí)策略(可選)keepaliveCenterSite1Site2Site3ISAKMP

Profile

工作流程圖eIKEPhase1policyPhase1.5policyPhase2DATAeIKEPhase1policyPhase1.5policyPhase2ISAKMPProfile實(shí)驗(yàn)拓?fù)銼ite1Site2INTERNET實(shí)驗(yàn)需求:Site1用傳統(tǒng)的配置方式Site2用ISAKMP

Profile的方式/2461.128.1

0/24/24/24crypto

isakmp

policy

10encr

3deshash

md5

authentication

pre-sharegroup

2crypto

isakmp

key

cisco

address

crypto

ipsec

transform-set

Tran

esp-des

esp-md5-hmacmode

tunnelcrypto

map

crymap

10

ipsec-isakmpset

peer

set

transform-set

Tranmatch

addressinterface

Ethernet0/1crypto

map

crymapcrypto

keyring

L2Lkeypre-shared-key

address

key

ciscocrypto

isakmp

policy

10encr

3deshash

md5authentication

pre-sharegroup

2crypto

isakmp

profile

isaprofkeyring

L2Lkeymatch

identity

address

55crypto

ipsec

transform-set

Tran

esp-des

esp-md5-hmacmode

tunnelcrypto

map

crymap

10

ipsec-isakmpset

peer

set

transform-set

Transet

isakmp-profile

isaprofmatch

addressISAKMP

Profile

QOS運(yùn)用Centercrypto

isakmp

profileQOSkeyring

L2Lkeymatch

identity

address

255.255

255.255qos-group

2class-mapmatch-all

QOS-Trafficmatch

qos-group

2policy-map

Markclass

QOS-Trafficset

ip

dscp

2interface

FastEthernet0/1ip

address

service-policy

output

MarkISAKMP

Profile認(rèn)證管理匹配特定crypto

pkimap

cert.control

10issuer-name

eq

cn

=

ca.atom. ,

o

=atom,

ou

=

atomguocryptoisakmp

identity

dn(激活I(lǐng)OS發(fā)送DN,非常重要)crypto

isakmp

profile

isaprofca

trust-point

CAmatch

cert.control

(調(diào)用cert

map控制建立)ISAKMP

Profile

VRF運(yùn)用crypto

isakmp

profile

VRFkeyring

L2LkeyMatch

identityaddress

55Vrf

Site1實(shí)現(xiàn)功能:不同站點(diǎn)發(fā)過(guò)來(lái)的數(shù)據(jù)后放到不一樣的VRF中動(dòng)態(tài)地址解決方案動(dòng)態(tài)MAP

VS

靜態(tài)MAP適用場(chǎng)合:中心是固定IP地址但是分支不是固定的IP地址的情況,如果都是CISCO設(shè)備不建議采用這個(gè)方案,建議使用EZ 來(lái)解決。如果不都是CISCO設(shè)備這是唯一的解決方案。例如中心是CISCO產(chǎn)品,分支采用的是D-LINK 產(chǎn)品,并且D-LINK沒(méi)有固定的IP地址。實(shí)驗(yàn)拓?fù)銫enterSite1INTERNET實(shí)驗(yàn)需求:Site1通過(guò)DHCP獲取地址Center是固定IP地址DHCP獲取IP注意:中心站點(diǎn)無(wú)法主動(dòng)發(fā)起

流量,必須由分支站點(diǎn)主動(dòng)觸發(fā)

的流,中心和分支才能正常通信;沒(méi)有虛擬隧道接口不能運(yùn)行動(dòng)態(tài)路由協(xié)議。/2461.128.1

0/24/24/24crypto

isakmp

policy

10encr

3deshash

md5

authentication

pre-sharegroup

2crypto

isakmp

key

cisco

address

crypto

ipsec

transform-set

Tran

esp-des

esp-md5-hmacmode

tunnelcrypto

dynamic-map

dymap

10set

transform-set

Tran(感

流和PEER不用做)crypto

map

crymap

1000

ipsec-isakmp

dynamic

dymapinterface

Ethernet0/1crypto

map

crymapcrypto

isakmp

policy

10encr

3deshash

md5

authentication

pre-sharegroup

2crypto

isakmp

key

cisco

address

crypto

ipsec

transform-set

Tran

esp-des

esp-md5-hmacmode

tunnelcrypto

map

crymap

19

ipsec-isakmpset

peer

set

transform-set

Tranmatch

addresscrypto

map

crymapDHCP獲取IP動(dòng)態(tài)

解析技術(shù)適用場(chǎng)合:中心和分支都是動(dòng)態(tài)獲取IP地址;也可以解決上面技術(shù)的中心站點(diǎn)無(wú)法主動(dòng)發(fā)起

流量的缺點(diǎn)。Site1配置命令ip

ddns

update

method

mytestHTTPadd

http://用戶名:

@<s>/nic/update?system=dyndns&hostname=<h>&myip=<a>exitinterval

max

01

0

0interface

dialer1ip

ddns

update

hostname的ip

ddns

update

mytest

host

服務(wù)提供商的名字動(dòng)態(tài)解析技術(shù)(續(xù))Center配置命令ip

name-server

(配置路由器解析

的DNS服務(wù)器)Cry

isakey

0

cisco

Cry

isa

key

0

cisco

(設(shè)置Site段可能獲取的網(wǎng)段,也可以用)Cry

map

cisco

5ipsec-isakmpset

peerdynamic

set

tra

ciscomat

addEZ

完美解決方案后面介紹NAT對(duì)

的影響實(shí)驗(yàn)拓?fù)銼ite1Site2INTERNET這里實(shí)驗(yàn)需求:加密點(diǎn)做NAT對(duì) 的影響兩個(gè)Site都做NAT出去/2461.128.1

0/24NATNATSite1INTERNE/24/24crypto

isakmp

policy

10encr

3deshash

md5

authentication

pre-sharegroup

2crypto

isakmp

key

cisco

address

crypto

ipsectransform-set

Tran

esp-des

esp-md5-hmacmode

tunnelcrypto

dynamic-map

dymap

10settransform-set

Tran(感

流和PEER不用做)crypto

map

crymap

1000ipsec-isakmp

dynamicdymapinterface

Ethernet0/1crypto

map

crymapip

access-list

extended

natdeny

ip

55

55permit

ip

55

anySite2crypto

isakmp

policy

10encr

3deshash

md5

authentication

pre-sharegroup

2crypto

isakmp

key

cisco

address

crypto

ipsec

transform-set

Tran

esp-des

esp-md5-hmacmode

tunnelcrypto

map

crymap

19

ipsec-isakmpset

peer

set

transform-set

Tranmatch

addresscrypto

map

crymapip

access-list

extended

natdeny

ip

55

55permit

ip

55

anyip

access-list

extendedpermit

ip

55

55DHCP獲取IP測(cè)試分析結(jié)果分析:出方向先NAT后加密;進(jìn)方向先

后NAT回去解決方法:做NAT時(shí)候,把感

流DENY,不做NATP#Type

esc sequence

to

abort.Sending

5,100-byte

ICMP

Echos

to

,

timeout

is

2

seconds:U*Dec

19

08:02:43.021:ICMP:

dst

()

host

unreachable

rcv

from

0

.U*Dec

19

08:02:45.024:

ICMP:

dst

()

host

unreachable

rcv

from

0

.USuccess

rate

is

0

percent

(0/5)P#*Dec

19

08:02:47.029:

ICMP:

dst

()

host

unreachable

rcv

from

0VTI技術(shù)介紹VTI技術(shù)介紹適用場(chǎng)合:IPSec

VTI技術(shù)允許

配置一個(gè)虛擬隧道接口,

可以運(yùn)用各種特性到這個(gè)接口上,控制明文的特性應(yīng)該被配置到VTI接口上,控制密文的特性應(yīng)該被配置到物理接口上。當(dāng)使用IPSec

VTI

技術(shù),

可以對(duì)明文和加密后的流量分開(kāi)做N

L和QOS等特性。如果

運(yùn)用傳統(tǒng)的cryptomap技術(shù),沒(méi)有一種簡(jiǎn)單的方法來(lái)運(yùn)用這些加密特性到IPSec隧道。一共有兩種類(lèi)型的VTI接口,一種是靜態(tài)的VTI(SVTI),一種是動(dòng)態(tài)的VTI(DVTI),相對(duì)于傳統(tǒng)的cryptomap的優(yōu)勢(shì)在于可以在隧道口上運(yùn)用動(dòng)態(tài)路由協(xié)議,并且不

需要額外的4個(gè)字節(jié)的GRE頭部,降低了發(fā)送加密數(shù)據(jù)的帶寬。

SVTI用于L2L-DVTI用于

撥號(hào)實(shí)驗(yàn)拓?fù)銼ite1Site2INTERNET實(shí)驗(yàn)需求:區(qū)別傳統(tǒng)的L2L-

,配置新的SVTI模式的L2L-SVTI/24/24LO0/24LO0/24

/24/24crypto

isakmp

policy

10encr

3deshash

md5authentication

pre-sharegroup

2

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論