&&基本概念：1.IPSec服務：（1）數據完整性：保持數據一致性，防止未授權地生、修改、刪除行為；（2）認證：驗證發送者身份與數據真實性、不可抵賴性、抗重放；（3）保密性：傳輸的數據經過共享密鑰加密；（4） 應用透明：IPSec安全頭插入在標準IP頭和上層協議（如TCP）之間，任何服務和應用像處理標準IP分組一樣不經修改的透明處理和通過現有IP路由器；2.IPSec功能：（1） 認證頭（AH）：用于數據完整性和數據源的認證，采用生成報文摘要的方式（SHA1/MD5）；（2） 封裝安全負荷（ESP）：用于數據完整性、保密性認證和抗重放攻擊，對IP數據采用對稱加密算法進行加密（DES/3DES/AES128）；（3） Internet密鑰交換協議（IKE）：用于ESP和AH的協商、生成和分發，并對遠程訪問進行初始認證。3.IPSec的兩種模式：IPSec支持傳輸模式和隧道模式。其區別在于對IP分組的封裝和修改。（1） 傳輸模式：直接在原IP頭與TCP協議之間插入AH、ESP頭之間（2） 遂道模式：在原IP頭之前插入AH和ESP頭，并用一個新的IP頭來對插入后的IP數據進行封裝。新的IP頭中加入了收發雙方配置的隧道源/目標IP地址，這對IP地址與傳輸端口實際IP地址無關，用于建立遂道封閉報文的通信。&&在路由器上配置的基本思路：1.IKE第一階段：本階段通常稱為IKE主模式，用于協商安全關聯（SA）的框架，也就是對IPSec的安全方案進行協商和定義。本階段并不給出確切的算法和密鑰，而是確定一個安全框架。具體工作包括：（1）數據加密算法類型；（2）散列認證算法類型；（3） 認證方式，一般是預共享密鑰方式；（4）密鑰長度；（5） SA生存期；（6） 對端初始認證口令及對端地址的設置。2.IKE第二階段：創建IPSec變換集，也稱為IPSec快速模式。本階段只有一條配置命令，就是創建一個變換集。變換集的功能是為IPSec安全信道指定具體的安全算法。具體工作包括：（1） 為變換集定義一個引用標識；（2） 確定認證頭AH的具體散列算法；（3） 確定封裝安全負荷ESP的具體加密算法。【注意】IKE1中的數據加密算法類型與IKE2中ESP加密算法是 對應的。例如在IKE1中指定了ESP加密算法為DES，則在IKE2中ESP具體加密算法必須是DES算法中的一種，包括：des/3des/aes；同理,IKE1中的散列認證算法類型與IKE2中AH具體散列算法也是 對應的。例如IKE1中指定為MD5類型，則在IKE2中的AH具體散列算法必須是MD5算法中的一種，包括：ah-md5-hmac/ah-sha-hmac。上述這些具體算法也是定義變換集命令的實際參數。另夕卜，CISCO路由器還支持對ESP的散列認證，算法包括：esp-md5-hmac/esp-sha-hmac/兩種，但很少用到。配置加密圖(加密映射)本階段將預定義和配置一個加密圖(cryptomap的直譯，也譯作加密映射)，并在后面配置隧道和端口時進行引用。加密圖是一個IPSec安全序列，包含了隧道對端IP,轉換集(包括報文的AH和ESP算法，IKE第二階段已定義，在加密圖中直接映射引用)。配置好的加密圖對通過遂道的IP數據填寫目標IP，插入AH認證，并進行ESP加密。實際是一個封裝過程。本階段工作主要包括：定義加密圖；設置對端端口IP(通常是對端路由器外網串口IP)；設置隧道AH和ESP(映射用于本隧道的轉換集)；映射用于本隧道的訪問控制列表。建立和配置隧道本階段開始建立和配置隧道。IPSec的隧道模式下，會對原IP數據再次進行封裝，加上新的IP頭，IP頭中最有價值的信息是為隧道兩端專門定義的專用隧道IP地址。加上帶有隧道IP的IP數據可以防止被竊聽和分析到源與目標中的通信量。本階段工作主要包括：(1)定義隧道接口；配置隧道端口IP；(3)配置隧道源地址；(4)配置隧道目標地址；將加密圖應用于此隧道。本隧道接口禁止轉發組播(因為這是個跨網的中繼口，轉發本網段內的組播實際是沒有意義的，禁用組播實際可以減輕本接口無效流量，默認為允許轉發，非必要命令)。配置路由器夕網端口主要是配置路由器夕網端口。本階段工作主要包括：(1)配置串口的IP地址和子網掩碼；(2)本端口禁止轉發組播(非必要命令)；將加密圖應用于此端口(這是加密圖的第二次引用)；啟用無類路由模式(非必要命令)。【注意】NE_1P446的實例中，路由器的兩個接口S0/0和E0/1的作用沒有理解。按實例配置代碼來看，隧道是用在了S0/0上，但外網接口卻是E0/1,在拓撲圖中也沒有看到S0/0的標識。原理上，哪個口是夕網，加密圖就映射到哪個口上。網上查到的兩個實例文檔以及歷年真題中都沒有出現過既有串口又有以太網外網端口的現象。配置訪問控制列表用訪問控制列表可以在第一步做，也可以放到后面來°ACL是加密圖中進行引用的，用于保證隧道不會被用于傳送第三方IP數據，增加隧道安全性。IPSec只支持擴展ACL，不支持標準ACL。路由設置最后還要進行路由設置。兩個路由器下的內網網段要通信，中間存在至少1跳，雙方自然是要設置路由的，同時也要保證傳往對端路由器內網的數據經過隧道。本階段的工作主要包括：建立默認路由，默認下一跳為對端外網端口IP;建立目標為對端內網網段靜態路由，設置下一跳為對端隧道接口IP。【注意】沒有驗證配置路由的必要性。在網上找到的實例和歷年真題案例中里并沒有強調配置路由，但從常理來說，本端內網網段要經過一個外網網段到達對端內網是必須有路由的;上述配置內容的意圖是，到達對端網段的所有數據包下一跳必須是對端隧道接口地址，如果在路由表中沒有明確指定的路由，則默認下一跳為對端外網端口IP。如果兩臺路由器下都只有一個內網，按常規意圖來說都是要跳轉到對端隧道接口IP的，實際上只用配置(2)就可以了。在考試中一般不會有更復雜的意圖。&&實例命令注釋InternetR2172.30.1.2172.30.2.2分支機構總稲間域網InternetR2172.30.1.2172.30.2.2分支機構總稲間域網R1的配置：1.IKE第一階段：cryptoisakmppolicy1注釋：生成IKE策略1；encryptiondes注釋：使用DES加密算法；hashmd5注釋：使用md5認證算法；authenticationpre-share注釋：使用預共享密鑰；group1注釋：指定Diffie-Hellman長度為768位；lifetime14400注釋：指定SA生存期，默認值為86400，也就是一天。兩端相同;cryptoisakmpkey123address172.30.2.2注釋：設置對端IP為172.30.2.2的預共享密鑰為123；2.IKE第二階段：cryptoipsectransform-setVPNsetah-md5-hmacesp-des3注釋：創建標識名為VPNset的變換機，設置AH散列算法為md5,esp加密算法為des3；3.定義加密圖：cryptomapVPNmap10ipsec-isakmp注釋：定義標識名為VPNmap，序號為10的加密圖；注意這里的序號是什么意思不明白;setpeer172.30.2.2注釋：設置對端IP;settransform-setVPNset注釋：映射轉換集VPNset，設置隧道AH及ESP；matchaddress101注釋：引用ACL101；配置隧道：interfacetunnel0注釋：定義隧道接口tunnel0；ipaddress192.168.1.1255.255.255.0注釋：設置隧道接口IP；noipdirectedbroadcast注釋：禁用組播；tunnelsoure172.30.2.1注釋：設置隧道源端地址；tunneldestination172.30.2.2注釋：設置隧道對端地址；cryptomapVPNmap注釋：引用已定義的標識為VPNmap的加密圖；配置外網接口：interfacee0/1注釋：進入e0/1接口；ipaddress172.30.2.1255.255.255.0注釋：設置外網接口IP；noipdirected-broadcast注釋：禁用組播；cryptomapVPNmap；注釋：引用已定義的標識為VPNmap的加密圖；配置ACL：access-list101permitiphost10.0.1.3host10.0.2.3注釋：僅允許10.0.1.3到10