CCNP听课笔记7-白红宇

对称密码学扼要重述

在对称密码学中，同一个密钥既用于加密又用于解密

对称加密速度快

对称加密是安全的

对称加密得到的密文是紧凑的

因为接收者需要得到对称加密的密钥，所以对称加密容易受到中途拦截窃听的攻击

对称密码系统当中迷药的个数大约是参与者数目的平方的速度增长，因此很难将他的使用扩展到大范围人群

对称密码系统需要复杂的密钥管理

对称密码技术不适用于数字签名和不可否认性

公钥加密私钥解

是为了保密

私钥加密公钥解

是非了不可否认

非对称密码学的好处和缺点

使用非对称密码技术时，用一个密钥加密的东西只能用另外一个密钥来解密

非对称加密时安全的

因为不必发送密钥给接收者，所以非对称加密不必担心密钥截获的问题

需要分发的迷药数目和参与者数目一样

非对称密码技术没有复杂的密钥分发问题

非对称密钥技术不需要事先与参与者之间建立关系

非对称密码交换技术支持数字签名和不可否认性

非对称加密速度相对缓慢

非对称加密会造成密文变长

理想的解决方案

对称密钥加密数据

非对称密钥加密对称产生的密钥

IPSec

的五个步骤

1 Host A sends interesting traffic to host B

2 Router A and B negotiate an IKE Phase 1 session

3 Rouer A and B negotiate an IKE Phase 2 session

4 Information is exchanged via the Ipsec tunnel

5 The Ipsec tunnel is terminated

Ipsec Protocols

Internet Key Exchange	IKE
Encapsulating Security Payload	ESP
Authentication Header	AH

传输模式用于端到端

隧道模式用于其他任何形式

定义走

vpn

的地址范围

Access-list 100 remark SDM_ACL Category=4

Access-list 100 remark IPSec Rule

Access-list 100 permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

Crypto isakmp key cisco address 192.168.24.14

Crypto isakmp policy 1

Encr 3des

Authentication pre-share

Group 2

设定转换集

Crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

Crypto map SDM_CMAP_1 1ipsec-isakmp

Description Tunnel to 192.168.24.14

Match address 100

Set peer 192.168.24.14

Set transform-set esp-3des-sha

调用

Interface f0/0

Crypto map SDM_CHAP_1

Generic Routing Encapsulation GRP

通用路由封装

本文转自 Jhuster 51CTO博客，原文链接：

http://blog.51cto.com/xwnet/170178

，如需转载请自行联系原作者