請注意: 本範例使用Packet Tracer 5.2版. 如果您要自己建立 .PKT 檔案來驗證 IPSec 的話, Router 請選擇 Cisco 1841 和 Cisco 2811. 其他型號的 "虛擬 Router", 很奇怪地, Packet Tracer 5.2 不支援 IPSec 功能.
1. 定義 "封包保護套餐" (Transform Sets)
IPSsec 有兩大種類的菜 (保護機制) 可以選, 用來組合成許多可以使用的 "保護套餐":- Authentication Header (AH), 提供以下保護功能:
- Integrity, 資料完整性
- Authentication, 身份真確性
- Anti-reply, 反制複製合法封包的攻擊
- Encapsulating Security Payload (ESP), 除了 AH 有的功能以外, 多提供以下保護功能:
- Confidentiality, 資料保密性
簡單地說, 要組成一個套餐, 請先在 AH 開頭的選項當中選一個(或不選), 然後在 ESP 開頭的選項當中選一個(或不選), 部份 ESP 開頭的選項可以再加選一個 ESP 開頭的選項.
IPSec-A(config)#crypto ipsec transform-set TSET ? ah-md5-hmac AH-HMAC-MD5 transform ah-sha-hmac AH-HMAC-SHA transform esp-3des ESP transform using 3DES(EDE) cipher (168 bits) esp-aes ESP transform using AES cipher esp-des ESP transform using DES cipher (56 bits) esp-md5-hmac ESP transform using HMAC-MD5 auth esp-sha-hmac ESP transform using HMAC-SHA auth IPSec-A(config)#
那套餐要如何選? 原則上, 選的 "菜越多樣", 或是 "單價越貴", 綜合保護強度就會越好, 但是相對地閘道器負擔也會加重.
單項的強度比較如下:
- ESP-AES > ESP-3DES > ESP-DES
- SHA-HMAC > MD5-HMAC
每個套餐都要取一個名字. 原來的例子當中, 就是定義一個名字叫做 "MOSTSECURE" 的 "封包保護套餐". 這個套餐沒有選 AH, 只選了 ESP-AES (256位元版), 另外加選了 ESP-SHA-HMAC.
!
crypto ipsec transform-set MOSTSECURE esp-aes 256 esp-sha-hmac
!
事實上, 套餐定義幾組都可以, 都只是被動的資料結構, 不會主動生效. 有沒有效果, 就要看 "封包保護機制腳本" (IPSec Crypto Map) 的定義中如何選用各種套餐了!
0 意見:
張貼留言
小技巧:也可以 匿名 留言!