最近工作遇到IPSec ***的配置,在此記錄一下,以供今後查閱。
拓撲:
R1 -- R2 -- R3
R1:總公司
f0/0: 100.100.100.1/24
lo0: 172.16.1.1/24 //用lo0來模擬內網
ip route 0.0.0.0 0.0.0.0 100.100.100.2
R2:模擬運營商
f0/0: 100.100.100.2/24
f0/1: 200.200.200.2/24
R3:分據點
f0/1: 200.200.200.3/24
lo0: 192.168.1.3/24 //用lo0來模擬內網
ip route 0.0.0.0 0.0.0.0 200.200.200.2
初始測試:
R1: ping 200.200.200.3 !!!!! //R1和R3之間通信建立
R1: ping 192.168.1.3 so 172.16.1.1 ..... // 分據點無法訪問總公司
目標:通過配置IPSec ***使分據點可以訪問總公司內網。
R1:
crypto isakmp enable 啓用IKE/isakmp(建立傳送IPsec隧道參數的隧道)
步驟一:
crypto isakmp policy 1 設置isakmp策略
authentication pre-share 身份驗證方法:pre-share/rsa-encr/rsa-sig
encryption 3des 加密的方法:des/3des/aes
group 5 傳密鑰的方法D-H算法:1/2/5
hash sha 完整性的方法:md5/sha
crypto isakmp key cisco address 200.200.200.3 設定預共享密鑰是cisco,IKE/isakmp對端ip是200.200.200.3
步驟二:
crypto ipsec transform-set 10 esp-3des ah-sha-hmac 配置IPSec轉換集合
**mode tunnel 採用隧道模式還是傳輸模式tunnel/transport
**crypto ipsec security-association lifetime seconds 3600 IPSec安全關聯存在的時間
access-list 100 permit ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255 什麼樣的流量要進隧道加密,設定源網段和目的網段
crypto map mymap 110 ipsec-isakmp 建立加密映射
match address 100 訪問控制列表101的流量要加密
set peer 200.200.200.3 IPSEC SA對端是200.200.200.3
set transform-set 10 IPSEC SA的參數採用轉換集名稱10
int f0/0
crypto map mymap 加密映射應用到接口上
R3:配置與R1相對應
驗證:
show crypto isakmp policy 查看IKE/isakmp策略
show crypto isakmp sa 查看IKE/isakmp的安全關聯
dst src state conn-id slot status
192.168.0.1 192.168.0.2 QM_IDLE 1 0 ACTIVE
R1:ping 192.168.1.3 so 172.16.1.1 !!!!!