IPSec分组的处理

所有IPSec实现都必须使用的两个数据库：

安全策略数据库（SPD）；

安全关联数据库（SADB）

 

SPD存储了策略定义，它们决定了如何处理两个IPSec对等体之间的所有IP数据流：入站的和出站的。SADB包含每个活动安全关联的参数。

安全策略数据库：

目标IP地址

源IP地址

名称

数据敏感性等级

传输层协议

源和目标端口

 

安全关联数据库（SADB）：

SADB包含下述9个与IPSec处理相关的参数：

序列号

序列号溢出

反重放窗口

SA寿命

模式

AH验证算法

ESP验证算法

ESP加密算法

路径MTU

 

crypto IPSec transform-set test esp-3des esp-sha-hmac

使用安全协议ESP，用3DES进行加密，用SHA-HMAC确保数据完整性，使用隧道模式来封装分组。

show crypto ipsec transform-set

 

1.查路由

2.查接口有没有加密映射

3.查SPD，是否匹配感兴趣流量，如果不匹配，直接转发，匹配则查IKE SA和IPSEC SA，如果没有，则协商。建议IKE/ISAKMP SA后，在IPSec隧道模式下使用ESP报头封装原始IP分组。

show cry isakmp policy

show cry isakmp sa

show cry eng conn act

注意：IPSec不仅要求对出站分组进行加密（如果它与代理或访问列表匹配），还要求与代理或访问列表的镜像匹配的入站分组必须是经过加密的。如果收到的这种分组为明文，将被丢弃。