crypto map acl和接口acl为什么分开?

最新推荐文章于 2025-06-08 11:32:15 发布
最新推荐文章于 2025-06-08 11:32:15 发布
阅读量1.5k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Cisco 思科 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/blakegao/article/details/12848411
本文深入探讨了CryMap在接口ACL检查前的角色及其对网络安全的影响,阐述了其在匹配并标记加密流、丢弃明文流、执行接口ACL检查等方面的作用,并解释了从12.3到12.4版本的安全改进,包括分离明文流量匹配与加密流处理,以避免安全漏洞。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

总的来说,cry map在接口acl之前先被检查,来撞击感兴趣流。对入站感兴趣流匹配并标记加密流,cry map来丢弃明文的入站感兴趣流,因为可能是被伪装的,之后对于入站流量来说,检查接口acl,来放行加密流和明文的其他被允许流量,同时,如果对于加密流,因为之前是加密的,所以并不知道加密的内容,解密后,或许可能对内容有限制,所以进行解密,然后去匹配cry map acl,12.3之前将两个acl由接口acl同时执行,这就会在远程接入vpn中出现问题:接入前,由于中心站点并不知道接入客户端的地址,因此在配置ipsec的时候使用的是动态的cry map,并没有指定感兴趣流,也无法知道感兴趣流,因此cry map即使应用在了接口,也不能执行丢弃明文感兴趣流的功能,同样是因为基于动态cry  map的cry map并不知道感兴趣流,但两个acl都由接口acl执行时,j接口acl里会放行解密后的感兴趣流条目,实际上就是感兴趣流的源目地址,但cry map正如刚才说的,没法检查并丢弃可能是伪装的明文感兴趣流,因此一定会放行这个明文的感兴趣流,造成安全漏洞,因此,12.4之后的版本将两个acl功能分开,使得明文感兴趣流匹配cry map时就被丢弃,完善了安全功能。cry map是对出站感兴趣流匹配并加密作用,同样,12.4 之后将感兴趣流的匹配过程和加密流以及其他明文放行流量也是分开执行的。

http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_crypto_ac_clrtxt_ps6350_TSD_Products_Configuration_Guide_Chapter.html

spring security原理机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)用户授权 (Authorization)两个部分,这两点也是 Spring
50个华为锐捷设备的命令对比,网络工程师收藏!
网络技术联盟站
09-15 1238
通过对比华为锐捷的50条核心命令,可以看出两者在网络设备配置上的整体思路非常相似,尤其是很多基本网络功能的实现方式如静态路由、VLAN、链路聚合等,命令语法逻辑都保持了一定程度的兼容性,方便管理员从一种设备过渡到另一种设备。然而,在某些具体功能的实现上,尤其是安全相关的配置如ACL、AAA以及高级网络协议(如IPSec、SSL VPN)的操作流程,华为锐捷的命令细节上存在一些差异。
基于物理接口ACL禁止源报文通过
cnparaboy
01-10 1009
javaWeb完整项目
weixin_70320260的博客
02-27 6300
JavaWeb,是用Java技术来解决相关web互联网领域的技术总。web包括:web服务器web客户端两部分。Java在客户端的应用有java applet不过现在使用的很少,Java在服务器端的应用非常的丰富,比如Servlet,JSP第三方框架等等。Java技术对Web领域的发展注了强大的动力。
手动搭建javaweb全项目开发,完成最基本的从前端页面写数据到数据库
最新发布
2302_76417223的博客
06-08 817
1.页面跳转问题,传统表单提交会触发页面刷新或跳转(通过。
第25节 虚拟专有网络原理及配置命令
Fighting_hawk的博客
01-10 3861
1. 了解加密技术的种类及常用算法; 2. 了解VPN技术的作用及分类; 3. 理解掌握两种IPsecVPN模式的工作原理; 4. 理解map表组、map表号、ACL表号、策略集之间的关系; 5. 理解掌握IPsecVPN配置方法。
初级 - 如何搭建一个Java Web项目 - 记录
Muxiu
07-14 3608
Influx 是一个开源的时序型数据库,常用于存储系统监控数据,IoT 行业的实时数据等场景。依赖,起到一个路由收发的作用,一个 Java Web 项目的根本服务核心。比较好理解,帮助开发者在开发环境可以更好的开发项目,修改代码后可以实时更新服务器的为修改代码后的新状态。还有一点要注意,启动项目时,如果没有配置 MongoDB ,就会报错,原因在于。好了,安装的依赖,就到这里了,下面的依赖目前还不需要,想要了解的参考链接。关于 Mongo DB 依赖,其实还有一个依赖,可以替换,即。
Java Web系列:Java Web 项目基础
m0_62396648的博客
06-21 1399
Session在存储安全性要求较高的会话信息方面是必不可少的,Session当然绝对不是用来存储用户登录状态的,但类似验证码等敏感信息却必须存储在Session中。对于分布式Web应用自定义Session支持独立的状态服务器或集群是必须的。
简单虚拟专用网络
Goallegoal的博客
04-12 1656
简单虚拟专用网络 概述 此类虚拟专用网络架设的目的,是为了满足公司更多的在外办公人员,能够允许外部人员(销售人员 / 远程技术人员)通过互联网安全访问公司资源(公司文档、公司的 IT 基础设施)。简单虚拟专用网络是一种 B2C 架构,L2L 虚拟专用网络 / GRE over IPsec / 动态多点虚拟专用网络 更多是一种 B2B 架构。 简单虚拟专用网络原理比常规虚拟专用网络复杂,配置更麻烦,...
Ipsec配置
LeslieLiangZ的博客
03-13 9685
Ipsec用于在数据传输过程中的加密协议 1. 搭建环境拓扑 2. 配置第一阶段:isakmp协商 需要配置的有isakmp协商的加密算法、验证算法、验证方式共享密钥及可选的group值生存时间Lifetime R1配置: R1(config)#crypto isakmp policy 1 定义策略 R1(config-isakmp)#encryption 3des 加密算法为3des R1...
锐捷设备命令大全,网络工程师收藏!
网络技术联盟站
07-03 1819
锐捷网络(Ruijie Networks)是国内领先的网络设备制造商,致力于提供高效、安全、可靠的网络解决方案。锐捷的产品线包括交换机、路由器、防火墙、无线设备等,广泛应用于企业、教育、政府、金融等行业。锐捷设备在各个行业中的应用场景包括:本文给大家整理一下锐捷设备命令,希望对大家有所帮助!目录:设备名称可以帮助管理员识别设备。设置设备名称的命令如下: 例如,将设备名称设置为"Ruijie_Switch": 配置时间日期 配置设备的时间日期有助于日志记录事件管理。使用以下命令配置时区日期时间: 例如
IPSEC学习
Hakkazhongli的博客
06-20 2654
IPSec协议产生的背景 用户在互联网上传输的数据容易遭受窃取
JavaWeb开发 —— SpringBootWeb综合案例
hdakj22的博客
04-23 3873
通过实例进行学习SpringBootWeb项目下增删改查详细操作、分页查询(PageHelper分页插件条件分页查询操作)、文件上传(本地存储阿里云OSS)。查询回显以及配置文件的管理(propertiesyml)
【网络安全】VPN数据安全原理与应用
景天科技苑
03-25 8301
GRE: 能支持单播、组播、广播,但是不安全。 VPN: 能实现安全加密,但是只支持单播,不能支持组播广播流。 IPSEC 拯救了GRE。
思科路由交换命令大全
qq_40720364的博客
04-29 3101
使用static命令可以在一个本地ip地址一个全局ip地址之间创建了一个静态映射,但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)阻挡,conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到DMZ或内部接口方向的会话。其中(if_name)表示内网接口名字,如inside,Nat_id用来标识全局地址池,使它与其相应的global命令相匹配,local_ip表示内网被分配的ip地址。端口号的指定可以用几种不同的方法。
IPSEC
XLYcmy的博客
10-16 1078
隧道传输内部数据,并且要保证数据安全,所以需要在每个部门之间建立一条。设备为运营商设备无法控制,每个部门之间需要建立一条。至此,网络工程与组网技术的全部实验就结束了。设备为模拟运营商设备,无法控制,本题目中。R3R4相同,就只放一张图了。隧道使用预共享秘钥进行身份验证。
Easy ×××&dynamic crypto map
weixin_33769207的博客
04-02 224
R1#sh run Building configuration... Current configuration : 1470 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec ...
***配置实例
weixin_34306593的博客
10-19 100
***配置实例(转载别人的,共同学习) 1 启用IKE协商routerA(config)#crypto isakmp policy 1 建立IKE协商策略(1是策略编号1-1000,号 越小,优先级越高routerA(config-isakmap)#hash md5 密钥认证的算...
CCNA课堂练习:控制访问列表(ACCESS LIST)
weixin_34178244的博客
11-16 1185
大家今天介绍一下访问控制列表,那为什么要用访问控制列表呢?比如说公司里不想让公司以外的人telnet本公司电脑可以用ACL、不想让别人ping通ip可以用ACL、不想…… 老师说挺好用的我在这大家分享一下,废话少说,我们开始,先来介绍一下ACL。 那使用ACL的目的是什么呢?在性能安全上介绍一下: •性能 对网络设计中特定的用户进行控制 拒绝网络...
华为思科ipsec
02-27
### 华为与思科 IPSec 配置实现差异对比 #### 1. 基本概念术语 华为设备通过 `ipsec proposal` 创建IPSec安全提议,然后在 `ipsec policy` 中指定提议使用的协商模式[^1]。而思科设备则使用命令如 `crypto ipsec transform-set` 来定义加密转换集,并通过 `crypto map` 将这些设置映射到接口上。 对于思科 IOS 版本间的差异,在8.2 8.4.5之间可能存在一些参数上的变化,这需要具体查看官方文档来确认是否有遗漏的关键配置项[^2]。 #### 2. 安全提议创建 - **华为** ```shell [Huawei] ipsec proposal PROPOSAL_NAME [Huawei-ipsec-proposal-PROPOSAL_NAME] esp authentication-algorithm sha256 [Huawei-ipsec-proposal-PROPOSAL_NAME] esp encryption-algorithm aes-cbc 256 ``` - **思科** ```shell Ruijie(config)# crypto ipsec transform-set myset esp-aes esp-sha-hmac ``` 两者都支持多种认证算法(SHA, SHA256等)加密算法(AES-CBC, AES-GCM),但在具体的命名方式上有区别。 #### 3. 策略应用 - **华为** 在华为设备中,先定义好 IPsec 提议之后再将其应用于策略: ```shell [Huawei] ipsec policy POLICY_NAME 1 isakmp [Huawei-ipsec-policy-POLICY_NAME-1-isakmp] proposal PROPOSAL_NAME [Huawei-ipsec-policy-POLICY_NAME-1-isakmp] sa duration time-based infinite ``` - **思科** 思科则是直接在一个命令序列里面完成整个过程: ```shell Ruijie(config)# crypto map mymap 10 ipsec-isakmp Ruijie(config-crypto-map)# set peer PEER_IP_ADDRESS Ruijie(config-crypto-map)# match address ACL_NUMBER Ruijie(config-crypto-map)# set transform-set TRANSFORM_SET_NAME ``` 可以看出,虽然最终目的相同——建立一个基于 IKE 的 IPsec 连接,但是操作流程有所不同。 #### 4. SD-WAN 功能增强 现代网络架构下,SD-WAN 技术给传统 IPSec 方案带来了显著改进。它不仅提升了 WAN 效率服务质量,而且简化了管理部署复杂度。例如 CPE 设备可以自动发现并加由控制器管理的广域网结构;同时提供了更灵活的应用感知能力以及优化后的路径选择机制[^3]。 尽管如此,无论是采用哪种品牌的硬件平台实施此类解决方案,核心原理仍然围绕着如何更好地利用现有资源提高业务连续性用户体验展开讨论。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值