ipsec是一种开放的，有因特网工程任务组(IETF)开发的开放标准。ipsec为在未经保护的网络(如internet)上传输敏感信息提供安全。ipsec工作在网络层，在多个ipsec设备(peer,就是所谓的对等体，如cisco router们)间保护和认证ip包。
ipsec提供以下网络安全服务，这些服务是可选的，大体上，本地安全策略将指定以下一个或者多个这些服务：
-数据机密性：ipsec发送者在发送 包穿过网络之前能够加密包。
-数据完整性：ipsec接收者可以认证由ipsec发送者发送的包来确定在传输过程中没有被更改。
-数据起源验证：ipsec接收这可以验证发送ipsec数据包的源。这项服务是依赖于数据完整性服务的。
-反重放：ipsec接收者可以检测和驳回重放的包。
注意：认证(authentication)这个术语主要指的是数据完整性和数据起源验证。
使用ipsec，数据可以在公网上无欺骗，无人干涉的传输。这开启了叫做vpn的应用，包括intranets(企业内部网)，extranets(企业外部网),和远程用户访问。

支持的标准：
cisco实施以下这些标准和特性：
ipsec-ip security protocol.ipsec是一个开放标准的提供对等体之间数据机密性数据完整性和数据验证的框架。ipsec在ip层提供这些安全服务，它使用ike来处理协议协商和基于本地策略的算法，以及生成加密和ipsec要使用的认证key。ipsec可以用来保护一对主机之间、主机和主机之间、网关之间的一个或者多个数据流。
注意：ipsec这个术语有时候用来描述整个ipsec数据服务和ike安全协议或者只描述数据服务。
ipse的文档是一系列的Internet Drafts, 全在这里可用： http://www.ietf.org/html.charters/ipsec-charter.html.
全面ipsec实施Security Architecture for the Internet Protocol Internet Draft

(RFC2401). cisco ios ipsec实施RFC 2402 (IP Authentication Header)以及RFC 2410 (The NULL Encryption Algorithm and Its Use With IPSec).
因特网钥匙交换(ike,internet key exchange)--一种混合协议，实施OaKley和SKEME 在isakmp框架进行钥匙交换。而且ike可以和其他协议混着用，他的出示实施使用ipsec协议。ike提供ipsec对等体认证，协商ipsec安全关联，和完成ipsec keys。

ipsec技术实施需要以下零件：
-des：数据加密标准(the data encryption standard)用来加密包数据。

cisco ios 强制带有Explicit IV的56位des-cbc。
cisco ios也能实施3重des(168位),加密，依赖于可用的指定平台的软件版本。3des是一种很强的加密模式，它开启了可订制的网络层加密。
-md5(hmac变量):md5(message digest 5)是一种哈希算法。hmac是键入的用来验证数据的哈希变量。
-sha(hmac变量):sha(sercure hash algorithem)是一种哈希算法。mac是键入的用来验证数据的哈希变量。
ipsec要使实施在cisco ios软件中，就支持以下附加标准：
-AH：认证头(authenticaiton header).一个提供数据认证和可选反回放服务的安全协议。ah镶嵌在数据协议来进行保护(整个ip数据报文).
-esp:封装安全净载。一种提供数据私有服务和可选数据认证的支持反回放的

安全协议。esp保护数据部分。
术语列表
反回放(anti-relay)
反回放是一种接受者可以驳回过期的或者重复的包的安全服务，这能保护它防止受到回放攻击。ipsec提供这项可选的服务，以数据认证和序列号混合使用。cisco ios ipsec提供，随时提供数据认证服务，除非：
手动连接安全关联这项服务不可用。
数据验证：
数据验证包括以下两个概念：
数据完整性：校验数据是否被更改。
数据起源验证(校验数据是否是真的发送者发送的)
数据认证可以提及完整性，或者两个的集合。
数据机密性：
数据机密性是保护数据不被窃听，偷取的安全服务。

以上就是【配置ipsec】的全部内容了,欢迎留言评论进行交流!