Hirdetés

  2. Fórumok
  3. Hálózat, szolgáltatók
  4. Cisco vizsgák (CCNA, CCNP, CCIE)
Keresés
  • Téma összefoglaló
    Utoljára frissítve: 2020-02-27 09:43

    LOGOUT

    --- Még az új vizsgarendszer előtti információk, majd frissítjük! ---


    Gyakran ismételt kérdések
    Olvasd el a cikkeket itt.

Új hozzászólás Aktív témák

  • #4269 Hedgehanter őstag karesz500 #4267
    Új Válasz #4269
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Hedgehanter

    őstag

    válasz karesz500 #4267 üzenetére

    SA az a Security Association, ebben hatarozzuk meg a Phase 1 es 2 ben a parametereket.

    A Phase 1 az IKE (ISAKMP) channel amin keresztul a peer-ek authenticaljak egymast, IKE SA policit cserelnek, crealnak egy kulcsot a DH-val, es felepitik a secure tunnel-t Phase 2 hoz. Itt csak azt beszelik meg hogy mivel epuljon fel a Phase 1 es azokbol egy titkos csatorna lesz amiben megbeszelik majd a Phase 2-t.

    A Phase 2 ben IPsec SA-t cserelnek amivel titkositva lesz az adat amit neha ujratargyalnak, neha a PFS segitsegevel ami a DH-n alapul..

    A tobbi kerdesed remelem erthetobb az elobbi magyarazt utan...

  • #4268 jerry311 nagyúr karesz500 #4267
    Új Válasz #4268
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    jerry311

    nagyúr

    válasz karesz500 #4267 üzenetére

    Nagyon roviden es nagyon pongyolan...
    Mindket esetben a beallitott hash, encryption, lifetime, DH group (~PFS @ phase 2), stb. alapjan epiti fel a kapcsolatot.
    Az SA (Security Associaton) egy felepitett kapcsolathoz tartozo adatok osszesseget rejti. Nyilvan a fenti konfiguralt elemek plusz az aktualis titkositasi kulcs es hatralevo lifetime (adat es ido egyarant).

    Azert ketto, mert az elsoben a biztonsagos csatornat epiti fel, amin aztan majd titkositva megbeszelik a peerek, hogy az adatforgalmat milyen beallitasokkal kuldik egymasnak. Tehat a masodik fazisban is egyeztetni kell mindent. Ugy is mondhatjuk, hogy a masodik fazisban ugyanaz tortenik, mint az elsoben, csak nem a peerek kozti forgalomra vonatkozoan, hanem a valos adatforgalomra.

    PFS: DH kulcs csere phase 2-ben. Ez azert jo, mert enelkul a phase 2 kulcs alapvetoen a phase 1 kulcs leszarmazottja lenne. Tehat PFS nelkul konnyebben torheto, mint PFS-sel.

    Crypto mapban rakod ossze az epitoelemeket, mint peer, ACL, transform set, PFS, lifetime, stb.
    Majd a crypto map kerul ra valamelyik interface-re es vegul ennek alapjan donti el az eszkoz, hogy kell-e titkositani vagy sem.

Új hozzászólás Aktív témák