码迷,mamicode.com
首页 > 其他好文 > 详细

IPSec分组的处理

时间:2016-01-15 20:11:30      阅读:189      评论:0      收藏:0      [点我收藏+]

标签:

所有IPSec实现都必须使用的两个数据库:

安全策略数据库(SPD);

安全关联数据库(SADB)

 

SPD存储了策略定义,它们决定了如何处理两个IPSec对等体之间的所有IP数据流:入站的和出站的。SADB包含每个活动安全关联的参数。

安全策略数据库:

目标IP地址

源IP地址

名称

数据敏感性等级

传输层协议

源和目标端口

 

安全关联数据库(SADB):

SADB包含下述9个与IPSec处理相关的参数:

序列号

序列号溢出

反重放窗口

SA寿命

模式

AH验证算法

ESP验证算法

ESP加密算法

路径MTU

 

crypto IPSec transform-set test esp-3des esp-sha-hmac

使用安全协议ESP,用3DES进行加密,用SHA-HMAC确保数据完整性,使用隧道模式来封装分组。

show crypto ipsec transform-set

 

1.查路由

2.查接口有没有加密映射

3.查SPD,是否匹配感兴趣流量,如果不匹配,直接转发,匹配则查IKE SA和IPSEC SA,如果没有,则协商。建议IKE/ISAKMP SA后,在IPSec隧道模式下使用ESP报头封装原始IP分组。

show cry isakmp policy

show cry isakmp sa

show cry eng conn act

注意:IPSec不仅要求对出站分组进行加密(如果它与代理或访问列表匹配),还要求与代理或访问列表的镜像匹配的入站分组必须是经过加密的。如果收到的这种分组为明文,将被丢弃。

 

IPSec分组的处理

标签:

原文地址:http://www.cnblogs.com/Tiphannie/p/5131058.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!