기본 Cisco IPSec 명령 요약
인터넷 프로토콜 보안(IPSec)은 암호화된 보안 서비스를 사용하여 IP(인터넷 프로토콜)의 기밀성과 보안을 보장하는 개방형 표준 프레임워크입니다. 인터넷을 통한 통신. 그러면 Cisco에서는 IPSec를 어떻게 구성합니까? 구성 명령은 어떻게 됩니까?
1. 몇 가지 기본 IPSec 명령을 살펴보겠습니다.
R1(config)#crypto ?
동적 맵 동적 암호화 맵 템플릿 지정
//동적 암호화 맵 템플릿 생성 또는 수정
ipsec IPSEC 정책 구성
//IPSec 보안 정책 생성
isakmp ISAKMP 정책 구성
//IKE 정책 생성
키 장기 키 작업
//라우터의 SSH 암호화 세션을 위한 암호화 키를 생성합니다.
값 뒤에는 키 모듈러스 크기, 단위는 비트입니다.
맵 암호화 맵 입력
//공통 암호화 맵 테이블 생성 또는 수정
Router( config)#crypto Dynamic-map ?
WORD 동적 암호화 맵 템플릿 태그
//WORD는 동적 암호화 맵 테이블의 이름입니다.
Router(config)#crypto ipsec?
security-association 보안 연결 매개변수
// ipsec 보안 연결 수명 또는 구성되지 않은 경우 맵에서 지정하세요.
변환 세트 변환 및 설정 정의
//ipsec 변환 세트 정의(보안 프로토콜과 알고리즘의 가능한 조합)
Router(config)#crypto isakmp ? /p>
client 클라이언트 구성 정책 설정
//주소 풀 생성
활성화 ISAKMP 활성화
//활성화된 IKE 정책 활성화 기본적으로
키 원격 피어에 대한 사전 공유 키 설정
//키 설정
정책 ISAKMP 보호 제품군에 대한 정책 설정
//IKE 정책 우선순위 설정
Router(config)#crypto key ?
generate 새 키 생성
//새 키 생성
zeroize 키 제거
//키 제거
Router(config)#crypto map
WORD 암호화 맵 태그
// WORD는 맵 테이블 이름입니다.
2. 몇 가지 중요한 명령입니다.
Router(config)#crypto isakmp 정책 ?
<1-10000> 보호 제품군 우선순위
//IKE 정책 설정, 정책 뒤에 1 - 10,000개의 숫자는 정책의 우선순위를 나타냅니다.
Router(config)#crypto isakmp 정책 100//IKE 정책 구성 모드로 들어가 다음 구성을 만듭니다
Router(config-isakmp)#encryption ?//채택 설정 세 가지 암호화 방법은 다음과 같습니다.
3des 3개 키 삼중 DES
aes AES - 고급 암호화 표준
des DES - 데이터 암호화 표준(56비트 키)
Router(config-isakmp)#hash ? //사용된 해시 알고리즘, MD5는 160비트이고 sha는 128비트입니다.
md5 메시지 다이제스트 5
sha 보안 해시 표준
라우터(config-isakmp)#authentication pre-share//사전 공유 키 사용 인증 방법
Router(config-isakmp)#group ?//키의 자릿수를 지정하세요. 숫자가 낮을수록 보안은 높아지지만 암호화 속도는 느려집니다.
1 Diffie-Hellman 그룹 1
2 Diffie-Hellman 그룹 2
5 Diffie-Hellman 그룹 5
Router(config-isakmp)#lifetime ? 보안 연결 수명을 60-86400초로 지정하세요.
<60-86400> 수명(초)
Router(config)#crypto isakmp key *** 주소 XXX.XXX.XXX.XXX
//IKE 교환을 위한 키 설정, ***는 키 구성, XXX.XXX.XXX.XXX는 상대방의 IP 주소를 나타냅니다.
Router(config)#crypto ipsec 변환 세트 zx ?
//IPsec 교환 세트를 설정하고 암호화 방법 및 인증 방법을 설정합니다. zx는 교환 세트 이름이며 양쪽 끝의 이름도 설정할 수 있습니다. 달라야 하지만 다른 매개변수는 일관성이 있어야 합니다.
ah-md5-hmac AH-HMAC-MD5 변환
ah-sha-hmac AH-HMAC-SHA 변환
esp-3des 3DES를 사용한 ESP 변환 (EDE) 암호(168비트)
esp-aes AES 암호를 사용한 ESP 변환
esp-des DES 암호(56비트)를 사용한 ESP 변환
esp -md5-hmac HMAC-MD5 인증을 사용하는 ESP 변환
esp-sha-hmac HMAC-SHA 인증을 사용하는 ESP 변환
예: Router(config)#crypto ipsec 변환-세트 zx esp-des esp-md5-hmac
Router(config)#crypto map map_zx 100 ipsec-isakmp
//암호화 매핑 테이블을 생성합니다. zx는 테이블 이름입니다. 직접 정의하면 100이 우선순위입니다(선택 범위 1-65535). 테이블이 여러 개인 경우 숫자가 작을수록 우선순위가 높아집니다.
라우터(config-crypto-map)#주소 일치 ?//ACL을 사용하여 암호화된 통신 정의
<100-199> IP 액세스 목록 번호
WORD 액세스 목록 이름
Router(config-crypto-map)#set?
peer 허용된 암호화/복호화 피어.//다른 라우터의 IP 주소를 식별합니다.
p>pfs pfs 설정 지정//위에 정의된 키 길이 지정, 즉 그룹 지정
security-association 보안 연결 매개변수//보안 연결의 수명 지정
Transform-set 우선순위에 따라 변형 세트 목록 지정
//암호화 맵에서 사용되는 IPSEC 교환 세트 지정
Router(config-if)# crypto map zx
p>
/ /라우터의 지정된 인터페이스를 입력하고 해당 인터페이스에 암호화 맵을 적용합니다. zx는 암호화 맵의 이름입니다.
3. 구성 실험.
실험적 토폴로지:
1. R1의 구성.
Router>enable
Router#config 터미널
한 줄에 하나씩 구성 명령을 입력하세요. CNTL/Z로 끝납니다. (config)#hostname R1
//IKE 정책 구성
R1(config)#crypto isakmp 활성화
R1(config)#crypto isakmp 정책 100
R1(config-isakmp)#암호화 des
R1(config-isakmp)#hash md5
R1(config-isakmp)#인증 사전 공유
R1(config-isakmp)#그룹 1
R1(config-isakmp)#lifetime 86400
R1(config-isakmp)#exit
//IKE 키 구성
R1(config)#crypto isakmp key 123456 주소 10.1.1.2
//IPSec 교환 세트 생성
R1 ( config)#crypto ipsec 변환-set zx esp-des esp-md5-hmac
//매핑 암호화 맵 생성
R1(config)#crypto map zx_map 100 ipsec-isakmp
R1(config-crypto-map)#일치 주소 111
R1(config-crypto-map)#set 피어 10.1.1.2
R1(config - crypto-map)#set 변환 세트 zx
R1(config-crypto-map)#set 보안 연결 수명 초 86400
R1(config-crypto-map)# set pfs group1
R1(config-crypto-map)#exit
//ACL 구성
R1(config)#access-list 111 허용 IP 192.168 . 1.10 0.0.0.255 192.168.2.10 0.0.0.255
//인터페이스에 암호화 맵 적용
R1(config)#interface s1/0
R1 ( config-if)#crypto map zx_map
2. R2의 구성.
구성은 기본적으로 R1과 동일합니다. 다음 명령만 변경하면 됩니다:
R1(config)#crypto isakmp key 123456 address 10.1.1.1
R1(config-crypto-map)#set 피어 10.1.1.1
R1(config)#access-list 111 허용 IP 192.168.2.10 0.0.0.255 192.168.1.10 0.0.0.255
3. 실험적인 디버깅.
구성 정보를 보려면 R1과 R2에서 각각 다음 명령을 사용하십시오.
R1#show crypto ipsec ?
sa IPSEC SA 테이블
변환 세트 암호화 변환 집합
R1#show crypto isakmp ?
policy ISAKMP 보호 제품군 정책 표시
sa ISAKMP 보안 연결 표시
4. 관련 지식 포인트.
대칭 암호화 또는 개인 키 암호화: 암호화 및 복호화는 동일한 개인 키를 사용합니다.
DES--데이터 암호화 표준 데이터 암호화 표준
3DES--3번 데이터 암호화 표준 삼중 데이터 암호화 표준
AES--고급 암호화 표준
일부 기술은 확인 기능을 제공합니다.
MAC--메시지 인증 코드 코드
HMAC - 해시 기반 메시지 인증 코드
MD5 및 SHA는 검증을 제공하는 해시 함수입니다.
대칭 암호화가 사용됩니다. 대용량 데이터의 경우 비대칭 암호화 스테이션이 많은 CPU 리소스
비대칭 또는 공개 키 암호화:
RSA rivest-shamir-adelman
암호화하려면 공개 키를 사용하고 해독하려면 개인 키를 사용하세요. 공개 키는 공개되지만 개인 키의 소유자만 이를 해독할 수 있습니다.
두 가지 일반적인 해싱 알고리즘:
HMAC-MD5는 128비트 공유 개인 키를 사용합니다.
HMAC-SHA-I는 160비트 개인 키를 사용합니다.
ESP 프로토콜: 기밀성, 데이터 소스 인증, 비연결 무결성 및 재생 방지 서비스를 제공하는 데 사용되며 이러한 서비스는 선택한 사항에 따라 달라집니다. SA 설정 및 구현 중에 트래픽 분석을 방지하여 트래픽의 기밀성을 제한합니다.
암호화는 DES 또는 3DES 알고리즘으로 완료됩니다. 선택적 인증 및 데이터 무결성은 HMAC, 키 SHA-I 또는 MD5에 의해 제공됩니다.
IKE-인터넷 키 교환: IPSEC 피어 인증을 제공하고 IPSEC 키를 협상하며 IPSEC 보안 연결을 협상합니다.
IKE를 구현하는 구성 요소
1: 암호화에 사용되는 des, 3des
2: 공개 키 기반 Diffie-Hellman 암호화 프로토콜 상대방이 보안되지 않은 장치에 공개 키를 설정할 수 있도록 허용합니다. IKE에서 세션 키를 설정하는 데 사용되는 채널입니다.
그룹 1은 768비트를 나타내고, 그룹 2는 1024비트를 나타냅니다.
3: MD5, SHA--데이터 패킷을 확인하기 위한 해시 알고리즘. RAS 서명--공개 키 암호화 시스템 기반