1、完成基本路由
R1:
int f0/0
ip add 100.1.1.1 255.255.255.0
no shutdown
int lo 0
ip add 192.168.10.1 255.255.255.0
ip route 0.0.0.0 0.0.0.0 100.1.1.2
R2:
int f0/0
ip add 100.1.1.1 255.255.255.0
no shutdown
int f0/1
ip add 200.1.1.3 255.255.255.0
no shutdown
R3:
int f0/1
ip add 200.1.1.3 255.255.255.0
no shutdown
int lo 0
ip add 172.16.30.3 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 200.1.1.2
2、定义P1 policy
crypto isakmp policy 10 //定义P1协商参数, 10是序号,本地有效
encryption 3des //从5-6包开始的isakmp消息加密算法
hash sha //源认证用的散列算法
authentication pre-share //源认证使用预共享密钥的方式
group 2 // DH组2 (1024bits)
crypto isakmp key 0 cisco123 address 200.1.1.3 //定义一个PSK,用于计算SKEYID互相认证,指定key用于哪个peer(因为可能有多个peer用不同的key)
show crypto isakmp policy 可以看到除了自己定义的10,还有一个默认的模板。这个模板不会被直接使用,而是自定义policy中没有指定的参数,会按照模板中的默认参数使用。
R3
crypto isakmp policy 10
encryption 3des
hash sha
authentication pre-share
group 2
crypto isakmp key 0 cisco123 address 100.1.1.1
3、定义P2 policy
R1
crypto ipsec transform-set TS esp-3des esp-sha-hmac //定义二阶段SA中使用的加密算法和认证算法
mode [tunnel | transport] //默认tunnel模式
R3
crypto ipsec transform-set TS esp-3des esp-sha-hmac
4、定义感兴趣流量
R1
ip access-list extend ACL
permit ip host 192.168.10.1 host 172.16.30.3
R3
ip access-list extend ACL
permit ip host 172.16.30.3 host 192.168.10.1
5、定义接口策略
R1
crypto map CMAP 10 ipsec-isakmp //一个接口只能调用一个map,所以用行号区分,使用isakmp来为ipsec创建安全隧道
match address ACL //匹配感兴趣列表的流量才要做保护
set transform-set TS //调用转换集,指定用什么方法保护
set peer 200.1.1.3 //与谁协商
int f0/0
crypto map CMAP //调用到流量的出包接口
R3
crypto map CMAP 10 ipsec-isakmp
match address ACL
set transform-set TS
set peer 100.1.1.1
int f0/1
crypto map CMAP
6、激活VPN
R1
ping 172.16.30.3 source 192.168.10.1 通
//注意此时R2仍然没有私网的路由,能通是因为加密了,数据包外层的IP包头里,目的地址是加密点的地址。内层IP包头才是通讯点的地址。
7、查看
R1#show crypto isakmp sa
R1#show cry ipsec sa
R1# show crypto engine connections active
R1#show cry session