软考网络工程师下午题精讲

《软考网络工程师下午题精讲》由会员分享，可在线阅读，更多相关《软考网络工程师下午题精讲（4页珍藏版）》请在装配图网上搜索。

1、&基本概念：1.IPSec 服务：（1）数据完整性：保持数据一致性，防止未授权地生、修改、删除行为；（2）认证：验证发送者身份与数据真实性、不可抵赖性、抗重放；（3）保密性：传输的数据经过共享密钥加密；（4）应用透明：IPSec安全头插入在标准IP头和上层协议（如TCP）之间，任何服务和应用 像处理标准IP分组一样不经修改的透明处理和通过现有IP路由器；2.IPSec 功能：（1）认证头（AH）：用于数据完整性和数据源的认证，采用生成报文摘要的方式（SHA1/MD5）；（2）封装安全负荷（ESP）：用于数据完整性、保密性认证和抗重放攻击，对IP数据采用对 称加密算法进行加密（DES/3DES/

2、AES128）；（3）Internet密钥交换协议（IKE）：用于ESP和AH的协商、生成和分发，并对远程访问进 行初始认证。3.IPSec 的两种模式：IPSec支持传输模式和隧道模式。其区别在于对IP分组的封装和修改。（1）传输模式：直接在原IP头与TCP协议之间插入AH、ESP头之间（2）遂道模式：在原IP头之前插入AH和ESP头，并用一个新的IP头来对插入后的IP数据 进行封装。新的IP头中加入了收发双方配置的隧道源/目标IP地址，这对IP地址与传输端 口实际IP地址无关，用于建立遂道封闭报文的通信。&在路由器上配置的基本思路：1.IKE 第一阶段：本阶段通常称为IKE主模式，用于协商

3、安全关联（SA）的框架，也就是对IPSec的安全 方案进行协商和定义。本阶段并不给出确切的算法和密钥，而是确定一个安全框架。具体工 作包括：（ 1）数据加密算法类型；（ 2）散列认证算法类型；（3）认证方式，一般是预共享密钥方式；（ 4）密钥长度；（5）SA生存期；（6）对端初始认证口令及对端地址的设置。2.IKE 第二阶段：创建 IPSec 变换集，也称为 IPSec 快速模式。本阶段只有一条配置命令，就是创建一个 变换集。变换集的功能是为IPSec安全信道指定具体的安全算法。具体工作包括：（1）为变换集定义一个引用标识；（2）确定认证头 AH 的具体散列算法；（3）确定封装安全负荷ESP的

4、具体加密算法。【注意】IKE1中的数据加密算法类型与IKE2中ESP加密算法是对应的。例如在IKE1中指定了 ESP加密算法为DES，则在IKE2中ESP具体加密算法必须是DES算法中的一种，包括： des/3des/aes；同理,IKE1中的散列认证算法类型与IKE2中AH具体散列算法也是对应的。例如IKE1中指定为 MD5 类型，则在 IKE2 中的 AH 具体散列算法必须是 MD5 算法中的一种，包括： ah-md5-hmac/ah-sha-hmac。上述这些具体算法也是定义变换集命令的实际参数。另夕卜，CISCO路由器还支持对ESP的散列认证，算法包括：esp-md5-hmac/esp

5、-sha-hmac/ 两种，但很少用到。3. 配置加密图(加密映射)本阶段将预定义和配置一个加密图(crypto map的直译，也译作加密映射)，并在后面 配置隧道和端口时进行引用。加密图是一个IPSec安全序列，包含了隧道对端IP,转换集(包 括报文的AH和ESP算法，IKE第二阶段已定义，在加密图中直接映射引用)。配置好的加密 图对通过遂道的IP数据填写目标IP，插入AH认证，并进行ESP加密。实际是一个封装过程。 本阶段工作主要包括：(1) 定义加密图；(2) 设置对端端口 IP (通常是对端路由器外网串口 IP)；(3) 设置隧道AH和ESP (映射用于本隧道的转换集)；(4) 映射用

6、于本隧道的访问控制列表。4. 建立和配置隧道本阶段开始建立和配置隧道。IPSec的隧道模式下，会对原IP数据再次进行封装，加上 新的IP头，IP头中最有价值的信息是为隧道两端专门定义的专用隧道IP地址。加上带有隧 道IP的IP数据可以防止被窃听和分析到源与目标中的通信量。本阶段工作主要包括：( 1)定义隧道接口；(2) 配置隧道端口 IP；( 3)配置隧道源地址；( 4)配置隧道目标地址；(5) 将加密图应用于此隧道。(6) 本隧道接口禁止转发组播(因为这是个跨网的中继口，转发本网段内的组播实际是没 有意义的，禁用组播实际可以减轻本接口无效流量，默认为允许转发，非必要命令)。5. 配置路由器夕

7、网端口主要是配置路由器夕网端口。本阶段工作主要包括：(1)配置串口的 IP 地址和子网掩码；( 2)本端口禁止转发组播(非必要命令)；(3) 将加密图应用于此端口(这是加密图的第二次引用)；(4) 启用无类路由模式(非必要命令)。【注意】NE_1 P446的实例中，路由器的两个接口 S0/0和E0/1的作用没有理解。按实例配置代 码来看，隧道是用在了 S0/0上，但外网接口却是E0/1,在拓扑图中也没有看到S0/0的标识。 原理上，哪个口是夕网，加密图就映射到哪个口上。网上查到的两个实例文档以及历年真题 中都没有出现过既有串口又有以太网外网端口的现象。6. 配置访问控制列表用访问控制列表可以在

8、第一步做，也可以放到后面来ACL是加密图中进行引用的，用 于保证隧道不会被用于传送第三方IP数据，增加隧道安全性。IPSec只支持扩展ACL，不支 持标准 ACL。7. 路由设置最后还要进行路由设置。两个路由器下的内网网段要通信，中间存在至少1跳，双方自 然是要设置路由的，同时也要保证传往对端路由器内网的数据经过隧道。本阶段的工作主要 包括：(1) 建立默认路由，默认下一跳为对端外网端口 IP;(2) 建立目标为对端内网网段静态路由，设置下一跳为对端隧道接口 IP。【注意】(1) 没有验证配置路由的必要性。在网上找到的实例和历年真题案例中里并没有强调配置 路由，但从常理来说，本端内网网段要经过

9、一个外网网段到达对端内网是必须有路由的;(2) 上述配置内容的意图是，到达对端网段的所有数据包下一跳必须是对端隧道接口地址， 如果在路由表中没有明确指定的路由，则默认下一跳为对端外网端口 IP。如果两台路由器下 都只有一个内网，按常规意图来说都是要跳转到对端隧道接口 IP的，实际上只用配置(2) 就可以了。在考试中一般不会有更复杂的意图。&实例命令注释InternetR2172.30.1.2172.30.2.2分支机构总稲间域网R1 的配置：1.IKE 第一阶段： crypto isakmp policy 1注释：生成IKE策略1；encryption des 注释：使用 DES 加密算法；

10、hash md5注释：使用 md5 认证算法； authentication pre-share 注释：使用预共享密钥； group 1注释：指定Diffie-Hellman长度为768位；lifetime 14400注释：指定SA生存期，默认值为86400，也就是一天。两端相同;crypto isakmp key 123 address 172.30.2.2注释：设置对端IP为172.30.2.2的预共享密钥为123；2.IKE 第二阶段：crypto ipsec transform-set VPNset ah-md5-hmac esp-des3注释：创建标识名为VPNset的变换机，设置A

11、H散列算法为md5, esp加密算法为des3；3.定义加密图：crypto map VPNmap 10 ipsec-isakmp注释：定义标识名为VPNmap，序号为10的加密图；注意这里的序号是什么意思不明白; set peer 172.30.2.2注释：设置对端IP;set transform-set VPNset注释：映射转换集VPNset，设置隧道AH及ESP；match address 101 注释：引用 ACL 101；4. 配置隧道：interface tunnel0 注释：定义隧道接口 tunnel0； ip address 192.168.1.1 255.255.255.0

12、注释：设置隧道接口 IP；no ip directed broadcast 注释：禁用组播；tunnel soure 172.30.2.1 注释：设置隧道源端地址；tunnel destination 172.30.2.2注释：设置隧道对端地址；crypto map VPNmap注释：引用已定义的标识为VPNmap的加密图；5. 配置外网接口： interface e0/1 注释：进入 e0/1 接口；ip address 172.30.2.1 255.255.255.0注释：设置外网接口 IP；no ip directed-broadcast 注释：禁用组播； crypto map VPNm

13、ap； 注释：引用已定义的标识为VPNmap的加密图；6. 配置 ACL：access-list 101 permit ip host 10.0.1.3 host 10.0.2.3注释：仅允许10.0.1.3到10.0.2.3的IP协议帧通过；7. 路由配置：ip route 0.0.0.0 0.0.0.0 172.30.2.2注释：无指定路由的数据包默认下一跳为对端外网接口 IP；ip route 10.0.2.3 255.255.255.0 192.168.1.2注释：发往10.0.2.3的数据包下一跳为对端隧道接口 IP；【注意】R2的配置与R1对应，此处不再详细列出，可参考NE_1 P447。