使用Cisco路由器配置IPsec之端到端***

原創 赫爾老侍 2018-09-11 02:04

一. 網絡拓撲
使用Cisco路由器配置IPsec之端到端***

二. 部署各網絡設備ip地址

(略) R1和R3需配靜態路由

三. 部署***
R1:
R1(config)#crypto isakmp enable
R1(config)#crypto isakmp policy 1 // policy 1表示策略1
R1(config-isakmp)#hash md5
R1(config-isakmp)#authentication pre-share //使用預先共享的密碼
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#group 1 //表示密鑰使用768位密鑰,另一種group 2表示密鑰使用1024位密鑰
R1(config-isakmp)#lifetime 10000 //聲明SA的生存時間爲10000,超過後SA將重新協商
R1(config-isakmp)#exit
R1(config)#access-list 101 permit ip any any //訪問控制列表
R1(config)#crypto isakmp key 1234 address 172.16.2.2 //確定要使用的預先共享密鑰且指出目的路由器ip地址
R1(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac //定義ipsce參數
R1(config)#crypto map sxs 10 ipsec-isakmp //定義生成新的map爲sxs,10爲優先級,越小優先級越高
R1(config-crypto-map)#set peer 172.16.2.2 //標識對方路由器的合法IP地址
R1(config-crypto-map)#set transform-set cisco //標識用於這個連接的傳輸設置
R1(config-crypto-map)#match address 101 //標識訪問控制列表
R1(config-crypto-map)#exit
R1(config)#int s1/0
R1(config-if)#crypto map sxs //應用到該接口
R1(config-if)#exit
R1(config)#exit

R3:
R3(config)#crypto isakmp enable
R3(config)#crypto isakmp policy 1
R3(config-isakmp)#hash md5
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#group 1
R3(config-isakmp)#lifetime 10000
R3(config-isakmp)#exit
R3(config)#access-list 101 permit ip any any
R3(config)#crypto isakmp key 1234 address 172.16.1.1
R3(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac
R3(config)#crypto map sxs 10 ipsec-isakmp
R3(config-crypto-map)#set peer 172.16.1.1
R3(config-crypto-map)#set transform-set cisco
R3(config-crypto-map)#match address 101
R3(config-crypto-map)#exit
R3(config)#int s1/1
R3(config-if)#crypto map sxs
R3(config)#exit
R3#

相關驗證結果的查看命令
顯示ISAKMP協商策略的結果
R1#sh crypto isakmp policy

查看管理連接SA的狀態
R1#sh crypto isakmp sa

顯示IPSEC變換集
R1#sh crypto ipsec transform-set

顯示數據數據連接SA的細節信息
R1#sh crypto ipsec sa

顯示Crypto Map的信息
R1#sh crypto map

四.驗證實驗:
R1#ping 172.16.1.2 ping不通,R3#ping 172.16.2.1 ping不通,因爲流量都從***走了

而R1#ping 172.16.2.2可以ping通,R3#ping 172.16.1.1可以ping通

這是爲什麼?前面說了,因爲流量都從***隧道通過了。這樣的拓撲就會導致原來兩個分公司,可以上外網,但是之間建立IPsec之後,就只能分公司進行通訊,而無法與外網通訊了

前面有個小坑,那就是access-list 101 permit ip any any 也就是所有流量都從***走,實際應用中可別這樣哦,把這個改爲指定ip或地址段即可

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

手動方式配置IPsec隧道

JMoyang 2019-02-22 22:52:53

利用IPSec實現網絡安全之二(禁用端口)

xubenxin 2019-02-22 22:28:19

IPsec封鎖端口

芥末花生 2019-02-22 22:23:46

IPsec***

GOD守望者 2019-02-22 21:02:00

How to Write Go Code

zxdevops 2019-02-22 21:59:32

不得不爲LINQ說幾句話,駁“LINQ已死”論

lihuijun 2019-02-22 19:54:14

修改windows的語言

我的遊客 2019-02-22 19:40:56

Advice to a Beginning Graduate Student

xfjoy0223 2019-02-22 18:57:28

bad environment-failed to execute 'devices.exe -default'

virus 2019-02-22 18:55:19

STP: spanning tree protocol - 生成樹協議

lyf執念 2019-02-22 23:04:11

網絡工程師職場生存發展的12大困惑

fengweidongshi 2019-02-22 22:30:10

網工2.0 - 給你一次逆襲的機會

hisroom 2019-02-22 22:08:42

網絡工程師成長日記413-長安大學交換機項目

cn20004 2019-02-22 18:51:12

網絡工程師成長日記417-西安如家酒店無線覆蓋技術支持

cn20004 2019-02-22 18:51:12

網絡工程師成長日記419-Intel某城市技術支持

cn20004 2019-02-22 18:51:10