如圖所示:
站點1 和站點 2 兩邊都是內部網絡,在沒有做ipsec *** 之前兩端的pc機 是沒有辦法直接通信的,他們只能通過在路由器上使用NAT 裝換之後訪問外部資源,在使用ipsec 之後兩端內網就可以完全透明的互相訪問,但是不會使用NAT裝換(在路由器上,ASA上可以使用NAT豁免)。
在實現ipsec *** 之前,需要外部網絡連同,如圖即在r1上可以ping 通r3 並且兩臺pc 都需要有網關
R1上:
保證和r3連同:
ip route 0.0.0.0 0.0.0.0 10.0.0.2
IKE階段1:
R1(config)# crypto isakmp policy 10 (控制連接策略)
R1(config-isakmp)# encr aes (用於身份驗證的數據包採用的加密算法: aes)
R1(config-isakmp)#hash sha 使用sha (加密管理連接)
R1(config-isakmp)# authentication pre-share (採用密鑰共享)
crypto isakmp key 6 123.com address 20.0.0.2 定義密碼123.com 對端地址爲20.0.0.2
IKE階段2:
R1(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 172.16.2.0 0.0.0.255
定義acl 用於過濾出需要經過ipsec 隧道的數據
R1(config)# crypto ipsec transform-set aa esp-aes esp-sha-hmac
定義傳輸集 定義數據連接的加密esp-aes和認證esp-sha-hmac 方式
R1(config)# crypto map aaa 1 ipsec-isakmp (定義加密圖)
R1(config-crypto-map)# set peer 20.0.0.2 (指定隧道對端ip地址)
R1(config-crypto-map)# set transform-set aa (指定數據使用的傳輸集)
R1(config-crypto-map)# match address 101 (匹配acl)
R3上的配置和R1上的相對應:
保證和r1連同:
ip route 0.0.0.0 0.0.0.0 20.0.0.1
IKE階段1:
R1(config)# crypto isakmp policy 10 (控制連接策略)
R1(config-isakmp)# encr aes (用於身份驗證的數據包採用的加密算法: aes)
R1(config-isakmp)#hash sha 使用sha (加密管理連接)
R1(config-isakmp)# authentication pre-share (採用密鑰共享)
crypto isakmp key 6 123.com address 10.0.0.1 定義密碼123.com 對端地址爲10.0.0.1
IKE階段2:
R1(config)# access-list 101 permit ip 172.16.2.0 0.0.0.255 192.168.1.0 0.0.0.255
定義acl 用於過濾出需要經過ipsec 隧道的數據
R1(config)# crypto ipsec transform-set aa esp-aes esp-sha-hmac
定義傳輸集 定義數據連接的加密esp-aes和認證esp-sha-hmac 方式
R1(config)# crypto map aaa 1 ipsec-isakmp (定義加密圖)
R1(config-crypto-map)# set peer 10.0.0.1 (指定隧道對端ip地址)
R1(config-crypto-map)# set transform-set aa (指定數據使用的傳輸集)
R1(config-crypto-map)# match address 101 (匹配acl)
驗證
在pc1 ip地址爲192.168.1.2 上ping pc 2 ip地址爲172.16.2.2
同時在R1上可以看見建立了連接隧道:
