阅读以下说明,回答问题1~2,将解答填入对应栏内。 VPN是通过公用网络Internet将分布在不同地点的终端联接而成的专用网络。目前大多采用IPsec实现IP网络上端点间的认证和加密服务。
问答题
某公司的网络拓扑结构如图2-1所示,采用VPN来实现网络安全。请简要叙述从公司总部主机到分支机构主机通过IPsec的通信过程。
【正确答案】正确答案:操作过程可以分成5个主要步骤: (1)IPSec过程启动——根据配置IPSec对等体(公司总部主机和分支机构主机)中的IPSec安全策略,指定要被加密的数据流,启动IKE(Internet密钥交换)过程; (2)IKE阶段1——在该连接阶段,IKE认证IPSec对等体,协商IKE安全关联(SA),并为协商IPSec安全关联的参数建立一个安全传输道路; (3)IKE阶段2——IKE协商IPSec的SA参数,并在对等体中建立起与之匹配的IPSecSA; (4)数据传送——根据存储在SA数据库中的IPSec参数和密钥,在IPSec对等体间传送数据: (5)IPSec隧道终止——通过删除或超时机制结束IPSec SA。
【答案解析】
问答题
某路由器的部分配置信息如下所示,请解释其中标有下划线部分的含义(“//”后为注释内容)。
*配置路由器信息
version 12.0
hostname SecRouter
boot system flash c1700-osy56i-mz 120-3-T3.bin
//应用IKE共享密钥进行认证
crypto isakmp policy 100
(1)
hash md5
(2)
/u>authentication pre-share (3)
//与远端IP为172.16.2.1的对等体的共享密钥为“mcns”
crypto isakmp key mcns address 172.16.2.1
(4)
crypto ipsec transform-set l&2 esp-des esp-md5-hmac
(5)
//配置加密图
//指定用IKE来建立IPSec安全关联,以保护由该加密图条目所指定的数据流
crypto map sharef 10 ipsec-isakmp
(6)
set peer 172.16.2.1
(7)
set transform-set 1&2
(8)
match address 151
//配置接口
interface serial0
ip address 172.16.1.1 255.255.255.252
ip access-group 101 in
crypto map sharef
(9)
interface FastEthernet0
end
【正确答案】正确答案:(1)创建标识为“100”的IKE策略 (2)采用md5 hashing算法 (3)采用预共享密钥认证方法 (4)与远端IP为172.16.2.1的对等体的共享密钥为“mcns” (5)配置名为1&2的交换集,指定esp-des和esp-md5-hmac两种变换 (6)分配给该加密图集的名称:sharef;序号:10 (7)指定允许的IPSec对等体的IP地址为172.16.2.1 (8)此加密图使用交换集1&2 (9)此接口使用名为sharef的加密图进行加密
【答案解析】解析:配置IKE涉及到启用IKE、创建IKE策略、验证配置等,其步骤如下表所示。
配置IPSec则包括创建加密用访问控制列表、定义变换集、刨建加密图条目、并将加密集应用到接口上去,如下表所示。
配置IPSec则包括创建加密用访问控制列表、定义变换集、刨建加密图条目、并将加密集应用到接口上去,如下表所示。