实验:***的配置
benet广州办事处需要用***方式连入公司总部。办公室和总部之间个有一台路由器,之间通过因特网连接,为了简化环境,试验中有两台路由器直接连接模拟上述环境。
如下所示:
下面是这种情况的一般的实验步骤:
第一步:
配置设置接口ip并用静态路由连同两个网络。
第二步:
配置IKE协商
1、启动IKE crypto isakmp enable
2、建立IKE的协商策略
(1)建立IKE的协商策略 crypto isakmp policy priority(1-10000)
(2)设置对称的加密方式 authentication pre-share
(3)设置密钥的加密算法(3des)encryption 3des
(4)设置密钥的认证算法 (md5)hash md5
配置设置接口ip并用静态路由连同两个网络。
第二步:
配置IKE协商
1、启动IKE crypto isakmp enable
2、建立IKE的协商策略
(1)建立IKE的协商策略 crypto isakmp policy priority(1-10000)
(2)设置对称的加密方式 authentication pre-share
(3)设置密钥的加密算法(3des)encryption 3des
(4)设置密钥的认证算法 (md5)hash md5
第三步:
设置IPSec隧道
1、配置IPSec传输模式 crypto ipsec transform-set transform-set-name 参数
注:传输模式可选择的参数有:
AH验证参数:ah-md5-hmac、ah-sha-hmac
ESP加密参数:esp-des、esp-3des、esp-null
ESP验证参数:esp-md5-hma、esp-sha-hmac
2、设置扩展ACL来确定哪些数据可以使用*** access-list 100-199 deny or permit protocol source destination
第四步:
配置端口应用
1、创建一个Crypto map crypto map map-name seq-num (1-65535) ipsec-isakmp
2、配置Crypomap
(1)配置Crypomap 集成ACL match address access-list-name
(2)设置对端路由器的接口的地址 set peer ip-address(对端路由器的ip地址)
(3)集成传输模式集 set transform-set name
3、应用Crypto 到端口
进入外网接口,crypto map map-name
设置IPSec隧道
1、配置IPSec传输模式 crypto ipsec transform-set transform-set-name 参数
注:传输模式可选择的参数有:
AH验证参数:ah-md5-hmac、ah-sha-hmac
ESP加密参数:esp-des、esp-3des、esp-null
ESP验证参数:esp-md5-hma、esp-sha-hmac
2、设置扩展ACL来确定哪些数据可以使用*** access-list 100-199 deny or permit protocol source destination
第四步:
配置端口应用
1、创建一个Crypto map crypto map map-name seq-num (1-65535) ipsec-isakmp
2、配置Crypomap
(1)配置Crypomap 集成ACL match address access-list-name
(2)设置对端路由器的接口的地址 set peer ip-address(对端路由器的ip地址)
(3)集成传输模式集 set transform-set name
3、应用Crypto 到端口
进入外网接口,crypto map map-name
下面是本实验的具体步骤:
(1)办事处所在的路由器的配置:
(2)总部所在的路由器的配置:
