Ipsec *** 配置實例

一. 實驗拓撲圖

 

 

二. 部署各網絡設備ip地址

 

 

 (略) R1和R3需配靜態路由

 

 

三. 部署***

R1：

R1(config)#crypto isakmp enable

R1(config)#crypto isakmp policy 1   // policy 1表示策略1

R1(config-isakmp)#hash md5

R1(config-isakmp)#authentication pre-share     //使用預先共享的密碼

R1(config-isakmp)#encryption 3des

R1(config-isakmp)#group 1     //表示密鑰使用768位密鑰,另一種group 2表示密鑰使用1024位密鑰
R1(config-isakmp)#exit

R1(config)#crypto isakmp key 1234 address 172.16.2.2   //確定要使用的預先共享密鑰且指出目的路由器ip地址

R1(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac   //定義ipsce參數
R1(config)#crypto map neo 10 ipsec-isakmp //定義生成新保密密鑰的週期

R1(config-crypto-map)#set peer 172.16.2.2  //標識對方路由器的合法IP地址

R1(config-crypto-map)#set transform-set cisco  //標識用於這個連接的傳輸設置

R1(config-crypto-map)#match address 101     //標識訪問控制列表

R1(config-crypto-map)#exit

R1(config)#access-list 101 permit ip any any    //訪問控制列表
R1(config)#int s1/0

R1(config-if)#crypto map neo    //應用到該接口
R1(config-if)#exit
R1(config)#exit

 

 

 

R3：

R3(config)#crypto isakmp enable
R3(config)#crypto isakmp policy 1
R3(config-isakmp)#hash md5
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#group 1
R3(config-isakmp)#exit

R3(config)#crypto isakmp key 1234 address 172.16.1.1

R3(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac

R3(config)#crypto map neo 10 ipsec-isakmp
R3(config-crypto-map)#set peer 172.16.1.1

R3(config-crypto-map)#set transform-set cisco

R3(config-crypto-map)#match address 101
R3(config-crypto-map)#exit
R3(config)#
R3(config)#access-list 101 permit ip any any
R3(config)#int s1/1

R3(config-if)#crypto map neo
R3(config)#ex
R3#

 

四.驗證實驗：

R1#ping 172.16.1.2 ping不通，R3#ping 172.16.2.1 ping不通，因爲流量都從***走了

 

而R1#ping 172.16.2.2可以ping通，R3#ping 172.16.1.1可以ping通

 

 

 

 

 

實驗基本完成，部分內容還在研究！（待續）