ipsec和ikev2哪个好ipsec和ssl


ipsec和ikev2哪个好ipsec和ssl

抓包可以看到访问者对自己做的所有操作对称:私钥算法,加密和解密都是使用这个密钥,一旦丢了,数据不安全,3次DES算法,加密大量数据很快非对称:公钥算法,生成公钥和私钥,公钥加密,私钥课解开,私钥加密,只能成对的公钥解开rsa(缺点慢)作用:给数字证书加密

非对称算法:cjdlh算法:生成密钥(group1(768bit),group2(1024bit),group5)RSA:不可逆hash:不能反运算,防止:将data 对称密钥用hash加密,对端也将收到data 对称密钥hash比较(md5,SHA)

A将publickey加密key后发给B(黑客回截到加密后数据,但是没有publickey无法解开)

nar1(conf-keyring)#pre-shared-keyaddress0.0.0.00.0.0.0key123

r1(config)#pr1(conf-isa-prof)#ar1(conf-isa-prof)#matchidentityaddress0.0.0.0(谁都可以跟我协商)

r1(config)#cryptodynamic-mapcisco1r1(config-crypto-map)#pr1(config-crypto-map)#ie•关联r1(config)#isco(静态不能直接调用第一阶段profile)

tunnel口下调用:(接口)tunnelprotectionipsecprofilel2l

EIGRP:单播,组播BMA:有几个点只发一份,NBMA:有几个点发几份,不具备广播功能MGRE:类似NBMA,总比和分布在一个网段hub端p2mp默认hello是30s,维护数据库,记录spoke的公网IP地址NHRP:一分部向总部发送,解析到另一分部公网IP地址,实现两个分部建隧道,当有流量触发每个spoke在启动时,将自己的IP地址注册在hub

hubinttunnel1ipadd1.1.1.1255.255.255.0modegremultiple

work-id1(进程号)ipnhrpmapmulticastdynamic(动态获取spoke端IP地址)

下一跳问题在hub端:ipnhrpredirect在spoke端:ipnhrpshortcut

OSPFhub默认是点到点,需要改成10s建邻居workp-2-mpiphello-interval10

(查看nhrp表)showipnhrpbr•ospf无法建立邻居,因为时nbma网络,不是广播,无法发hello包•EIGRP有水平分割问题:noipsplit-horizoneigrp100

spoketunnelsourcee0/0ipaddress1.1.1.2255.255.255.0modegremultipoint

work-id1ipnhrpmap1.1.1.115.1.1.1(手动写一条映射告诉hub)ipnhrpnhs1.1.1.1(去服务器注册)ipnhrpmapmulticast15.1.1.1(承载组播报文)