tication pre-share
crypto isakmp key vvv address 192.96.36.78
crypto ipsec transform-set vvv esp-des esp-md5-hmac
// ipsec提议的配置!
crypto map ccc 10 ipsec-isakmp
// 加密图ccc的配置
set peer 192.96.36.78
set transform-set vvv
match address 101
interface loopback3
ip address 192.96.99.1 255.255.255.255
interface fastethernet0/0
ip address 192.96.19.5 255.255.255.0
crypto map ccc
// 在端口上应用加密图ccc
ip classless
ip route 0.0.0.0 0.0.0.0 192.96.19.254
//以下访问表定义感兴趣的数据流
access-list 101 permit ip host 192.96.99.1 host 192.96.129.1
access-list 101 deny ip any any
4结论
在华为2620设备上以192.96.129.1为源地址和cisco 2600上的目标地址192.96.19.5 能够正常通讯。
在cisco 2600上以192.96.19.5为源地址和华为2620设备上的目标地址192.96.129.1的通讯也很正常。
如果有一端设备在连接网络的端口上取消了策略,或者两端ike预共享密钥错误,那么两端敏感的数据流将不能正常通讯,而其他数据流不受影响。因此,只要保护好密钥不被泄露,银行交易数据流的安全性就能够得到必要的保障。
上述配置均使用默认协议、传输方式、加密算法、认证算法和生存周期等,所以显示出来的比较简单。实际操作时需要注意两端参数的匹配。
在网络安全的技术设置方案中,存在多种途径,考察方案的优劣可能存在各种标准。本方案则是在可靠性的基础上,充分考虑可操作性和简便性而采取的设置。因此,在目前技术条件下本方案具有明显的优势和特点。随着网络技术的日益成熟和发展,更可靠、更先进的技术必将有待我们进一步的研究和发掘。
参考文献:
[1]卡尔•h•迈耶,斯蒂芬•m•马特斯著.保密系统设计和实现指南翻译组译.密码学计算机数据保密的新领域——保密系统设计和实现指南[m].北京:总参谋部第五十一所,1995.
[2]蔡立军.计算机网络安全技术[m].北京:中国水利水电出版社,2005.
[3]卢开澄.计算机密码学——计算机网络中的数据预安全[m].北京:清华大学出版社,200
上一页 [1] [2]