所有IPSec实现都必须使用的两个数据库:
安全策略数据库(SPD);
安全关联数据库(SADB)
SPD存储了策略定义,它们决定了如何处理两个IPSec对等体之间的所有IP数据流:入站的和出站的。SADB包含每个活动安全关联的参数。
安全策略数据库:
目标IP地址
源IP地址
名称
数据敏感性等级
传输层协议
源和目标端口
安全关联数据库(SADB):
SADB包含下述9个与IPSec处理相关的参数:
序列号
序列号溢出
反重放窗口
SA寿命
模式
AH验证算法
ESP验证算法
ESP加密算法
路径MTU
crypto IPSec transform-set test esp-3des esp-sha-hmac
使用安全协议ESP,用3DES进行加密,用SHA-HMAC确保数据完整性,使用隧道模式来封装分组。
show crypto ipsec transform-set
1.查路由
2.查接口有没有加密映射
3.查SPD,是否匹配感兴趣流量,如果不匹配,直接转发,匹配则查IKE SA和IPSEC SA,如果没有,则协商。建议IKE/ISAKMP SA后,在IPSec隧道模式下使用ESP报头封装原始IP分组。
show cry isakmp policy
show cry isakmp sa
show cry eng conn act
注意:IPSec不仅要求对出站分组进行加密(如果它与代理或访问列表匹配),还要求与代理或访问列表的镜像匹配的入站分组必须是经过加密的。如果收到的这种分组为明文,将被丢弃。
时间: 2024-11-03 01:40:19