参考安全ccnp ikev2第一天

1、CCNP第一天：IKEv2理IKEv2第二天：IOSvsCCNP第一天：IKEv2理IKEv2第二天：IOSvsASACrypto郭第三天：IOSvsIOS第四天：Router第六天：Anyconnect3.0 to ？基于IKEv2的site-to-site、remote-？基于IKEv2的site-to-site、remote-和spoken-to-spokens、hub-2.的CLI的架构：使用IOS点对点隧道接的特性：很多特性都可以在特性易于学习和管IKEv2IKEv2IKEv2vsAuth6OpenIPSec9msgs4-6msgsIKEv2vsAuth6OpenIPSec9msgs

2、4-6msgsPubkey-sig,Pubkey-Pubkey-Anti-NerverIKERequires re-Nore-IKEv2IKEv2IKE_SA_INIT(222ABProtectedKei：发起方密钥交换材料，使用最高DHNi：发起方HDR：表示IKESAi1：发起方提交学算Ker：响应方密钥交Ni：响应方HDR：表示IKESAr1：被响应方选HDR：表示IKECERT：发起IDr：期望的响应者ID（可选SAi2：发起方提交的child SA转换集流HDR：表示IKECERT：响应（可选AUTH：响应方的认证数据（如果发起方使用EAP认证这个字段就不存在SAr2：发起方提交的c

3、hildSA流HDR：表示IKESK：被加密和完整性后的SA：Rekey或者child/IKENi：发起方KEi：密钥交换（使用PFS用于IKE SA密钥更新 HDR：表示IKESK：被加密和完整性后的SAr：响应方提交的chlid SA策Nr：响应方 Information用于日常事物管理（类似Information用于日常事物管理（类似必须确认 被安全保护（加密的 3. 作为IKE_AUTH6. 会适当增加包数量12-162.1标准2.1标准IOSvsASACrypto实验配置1IOSIKEv2Policy（可选实验配置1IOSIKEv2Policy（可选实验预配（略cryptoikev2

4、alGLAB-encryption3desaes-cbc-egritysha256sha512 group 2 5 14cryptoikev2policyGLAB-alGLAB-PRF不配置默egrity一样，可以不一样，用来进一步把生成的随机数进实验配置2IOS实验配置2IOSIKEv2cryptoikev2keyringGLAB-peerCenter-（只是个名字，本地有效address（对端IP地址（预共享密钥实验配置3IOS实验配置3IOSIKEv2cryptoikev2profileGLAB-matchidentityremoteaddress61.128.1.1 identity

5、local address 202.100.1.1 authentication remote pre-share authentication local pre-sharekeyringlocalGLAB-实验配置4IOS实验配置4IOSIKEv2cryptoipsectransform-setTran1esp-desesp-md5-modecryptoipsectransform-setTran2esp-3desesp-sha256-hmac mode tunnel查看系统默认的Transform-实验配置5IOSIKEv2实验配置5IOSIKEv2流ips-listextendedGL

6、AB-permitip1.1.1.00.0.0.2552.2.2.0实验配置6IOS实验配置6IOSIKEv2Crypto1.配置Cryptocryptomapcrymap10ipsec-isakmp set peer 61.128.1.1set ikev2-profile GLAB-Prof match address GLAB-Traffic2.调用CryptoMaperfaceipaddress202.100.1.1cryptomap实验配置7ASA实验配置7ASAIKEv21. 在Outside接口激活cryptoikev2enable2.配置IKEv2crypto ikev2 pol

7、icy 10 encryptionaes-256desegritysha256sha group 2 1prfsha256实验配置8ASAIKEv2实验配置8ASAIKEv2tunnel-group202.100.1.1typeipsec-tunnel-group 202.100.1.1 ipsec-attributes ikev2local-authenticationpre-shared-key 实验配置9ASAIKEv2实验配置9ASAIKEv2cryptoipsecikev2ipsec-alprotocolespencryptionaes-192protocolegritysha-1实

8、验配置10ASAIKEv2实验配置10ASAIKEv2流extendedpermitip255.255.255.01.1.1.0实验配置11ASAIKEv2Crypto实验配置11ASAIKEv2Crypto1.配置Cryptocryptomap crymap 10 matchcryptomapcrymap10setpeercryptomapcrymap10setikev2ipsec-al2.调用CryptoM p到Outsidecryptomapcrym erface2.2IOS2.2IOScryptocryptoikev2keyringGLAB-peer Center-ASA addres

9、s 61.128.1.1 cryptoikev2profileGLAB-matchidentityremoteaddress61.128.1.1 identity local address 202.100.1.1 authentication remote pre-share authentication local pre-sharekeyringlocalGLAB-cryptomapcrymapcryptomapcrymap10ipsec-setpeersetikev2-profileGLAB-Prof ips-listextendedGLAB-permitip1.1.1.00.0.0.2552.2.2.0erfaceipaddress202.100.1.1cryptomap2.32.3cryptocryptoikev2keyringGLAB-peer Center-ASA pre-shared-key local cisco tunnel-group202.100.1.1typetunnel-group202.100.1.1typeipsec-tunnel-group202.100.1.1ipsec-ikev2remote-authenticationpre-shared-key cisco ike