如果您喜歡這裡的內容,記得分享到您的Facebook和Twitter上面所有的朋友們吧!


2009年10月8日 星期四

IPSec Transform Set "封包保護套餐" 設定說明, 延伸自 "Site-to-site IPSec VPN 設定範例"

本文延伸自前篇文章, "Site-to-site IPSec VPN 設定範例".

請注意: 本範例使用Packet Tracer 5.2版. 如果您要自己建立 .PKT 檔案來驗證 IPSec 的話, Router 請選擇 Cisco 1841 和 Cisco 2811. 其他型號的 "虛擬 Router", 很奇怪地, Packet Tracer 5.2 不支援 IPSec 功能.


1. 定義 "封包保護套餐" (Transform Sets)

IPSsec 有兩大種類的菜 (保護機制) 可以選, 用來組合成許多可以使用的 "保護套餐":
  1. Authentication Header (AH), 提供以下保護功能:



    • Integrity, 資料完整性
    • Authentication, 身份真確性
    • Anti-reply, 反制複製合法封包的攻擊




  2. Encapsulating Security Payload (ESP), 除了 AH 有的功能以外, 多提供以下保護功能:



    • Confidentiality, 資料保密性





簡單地說, 要組成一個套餐, 請先在 AH 開頭的選項當中選一個(或不選), 然後在 ESP 開頭的選項當中選一個(或不選), 部份 ESP 開頭的選項可以再加選一個 ESP 開頭的選項.
IPSec-A(config)#crypto ipsec transform-set TSET ?
  ah-md5-hmac   AH-HMAC-MD5 transform
  ah-sha-hmac   AH-HMAC-SHA transform
  esp-3des      ESP transform using 3DES(EDE) cipher (168 bits)
  esp-aes       ESP transform using AES cipher
  esp-des       ESP transform using DES cipher (56 bits)
  esp-md5-hmac  ESP transform using HMAC-MD5 auth
  esp-sha-hmac  ESP transform using HMAC-SHA auth
IPSec-A(config)#

那套餐要如何選? 原則上, 選的 "菜越多樣", 或是 "單價越貴", 綜合保護強度就會越好, 但是相對地閘道器負擔也會加重.

單項的強度比較如下:
  • ESP-AES > ESP-3DES > ESP-DES
  • SHA-HMAC > MD5-HMAC

每個套餐都要取一個名字. 原來的例子當中, 就是定義一個名字叫做 "MOSTSECURE" 的 "封包保護套餐". 這個套餐沒有選 AH, 只選了 ESP-AES (256位元版), 另外加選了 ESP-SHA-HMAC.

!
crypto ipsec transform-set MOSTSECURE esp-aes 256 esp-sha-hmac
!

事實上, 套餐定義幾組都可以, 都只是被動的資料結構, 不會主動生效. 有沒有效果, 就要看 "封包保護機制腳本" (IPSec Crypto Map) 的定義中如何選用各種套餐了!
如果您喜歡這篇文章,不考慮試試Email訂閱嗎?


Related Posts with Thumbnails

0 意見:

張貼留言

小技巧:也可以 匿名 留言!

經典熱門文章