IPSec ***的配置

最近工作遇到IPSec ***的配置，在此記錄一下，以供今後查閱。

拓撲：

R1 -- R2 -- R3

R1：總公司

f0/0: 100.100.100.1/24

lo0: 172.16.1.1/24       //用lo0來模擬內網

ip route 0.0.0.0 0.0.0.0 100.100.100.2

R2：模擬運營商

f0/0: 100.100.100.2/24

f0/1: 200.200.200.2/24

R3：分據點

f0/1: 200.200.200.3/24

lo0: 192.168.1.3/24      //用lo0來模擬內網

ip route 0.0.0.0 0.0.0.0 200.200.200.2

初始測試：

R1: ping 200.200.200.3   !!!!!       //R1和R3之間通信建立

R1: ping 192.168.1.3 so 172.16.1.1   .....  // 分據點無法訪問總公司

目標：通過配置IPSec ***使分據點可以訪問總公司內網。

R1：

crypto isakmp enable        啓用IKE/isakmp(建立傳送IPsec隧道參數的隧道)

步驟一：
crypto isakmp policy 1            設置isakmp策略
  authentication pre-share                  身份驗證方法：pre-share/rsa-encr/rsa-sig
  encryption 3des          加密的方法：des/3des/aes
  group 5             傳密鑰的方法D-H算法：1/2/5
  hash sha             完整性的方法：md5/sha

crypto isakmp key cisco address 200.200.200.3         設定預共享密鑰是cisco，IKE/isakmp對端ip是200.200.200.3

步驟二：
crypto ipsec transform-set 10 esp-3des ah-sha-hmac       配置IPSec轉換集合
  **mode tunnel           採用隧道模式還是傳輸模式tunnel/transport

**crypto ipsec security-association lifetime seconds 3600    IPSec安全關聯存在的時間

access-list 100 permit ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255        什麼樣的流量要進隧道加密，設定源網段和目的網段

crypto map mymap 110 ipsec-isakmp         建立加密映射
  match address 100          訪問控制列表101的流量要加密
  set peer 200.200.200.3        IPSEC SA對端是200.200.200.3
  set transform-set 10          IPSEC SA的參數採用轉換集名稱10

int f0/0
  crypto map mymap        加密映射應用到接口上

R3：配置與R1相對應

驗證：

show crypto isakmp policy          查看IKE/isakmp策略

show crypto isakmp sa         查看IKE/isakmp的安全關聯
  dst src state conn-id slot status
  192.168.0.1 192.168.0.2 QM_IDLE 1 0 ACTIVE

R1：ping 192.168.1.3 so 172.16.1.1   !!!!!