配置實例:
公司在北京而分公司在上海,如果租用光纖業務費用會比較高,另外安全性也沒有保證,特別是對內網的訪問方面。我們要在總公司和分公司之間建立有效的×××連接。具體網絡拓撲如圖1所示。北京路由器名爲RT-BJ,通過10.0.0.1/24接口和上海路由器連接,另一個接口連接北京公司內部的計算機172.16.1.0/24;上海路由器名爲RT-SH,通過10.0.0.2/24接口和總公司路由器連接,另一個接口連接分公司內部的計算機172.16.2.0/24。
配置命令:
總公司路由器:
crypto isakmp policy 1 創建ISAKMP策略,優先級爲1
encryption des 指定ISAKMP策略使用DES進行加密
hash sha 指定ISAKMP策略使用MD5進行HASH運算
authentication pro-share 指定ISAKMP策略使用預共享密鑰的方式對上海分公司路由器進行身份驗證。
group 1 指定ISAKMP策略使用10位密鑰算法
lifetime 28800 指定ISAKMP策略創建的ISAKMP SA的有效期爲28800秒,默認爲86400秒。
crypto isakmp identity address 指定ISAKMP與分部路由器進行身份認證時使用IP地址作爲標誌。
crypto isakmp key cisco123 address 10.0.0.2 指定ISAKMP與分部路由器進行身份認證時使用預共享密鑰。
crypto ipsec transform-set bjset esp-des esp-md5-hmac 配置IPSec交換集
crypto map bjmap 1 ipsec-isakmp 創建加密圖
set peer 10.0.0.2 指定加密圖用於分支路由器建立×××連接
set transform-set bjset 指定加密圖使用的IPSec交換集。
match address 101 指定使用此加密圖進行加密的通信,用訪問控制列表來定義
int fa0/0
ip address 172.16.1.1 255.255.255.0
設置內網接口
int s0/0
ip address 10.0.0.1 255.255.255.0
no ip mroute-cache
no fair-queue
clockrate 64000
crypto map bjmap
設置外網接口並指定在該接口上應用配置好的加密圖
access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
access-list 101 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
配置訪問控制列表指定需要加密的通信
上海分公司路由器:
在總部上設置完後還需要在上海分公司進行設置,只有雙方在加密等協議方面統一了標準才能正常通訊。
crypto isakmp policy 1 創建ISAKMP策略,優先級爲1
encryption des
指定ISAKMP策略使用DES進行加密
hash sha 指定ISAKMP策略使用MD5進行HASH運算
authentication pre-share 指定ISAKMP策略使用預共享密鑰的方式對北京總公司路由器進行身份驗證
group 1 指定ISAKMP策略使用10位密鑰的算法
lifetime 28800 指定ISAKMP策略創建的ISAKMP SA的有效期爲28800秒。默認爲86400秒。
crypto isakmp identity address 指定ISAKMP與總部路由器進行身份驗證時使用IP地址作爲標識。
crypto isakmp key cisco123 address 10.0.0.1 指定ISAKMP與總部路由器進行身份認證時使用預共享密鑰。
crypto ipsec transform-set shset esp-des esp-md5-hmac 配置IPSec交換集。
crypto map shmap 1 ipsec-isakmp 創建一個加密圖,序號爲1,使用ISAKMP協商創建SA
set peer 10.0.0.1
指定加密圖用於上海分公司路由器建立×××連接
set transform-set shset 指定加密圖使用IPSEC交換集
match address 101 指定使用此加密圖進行加密的通信,通過訪問控制列表來定義
int fa0/0
ip address 172.16.2.1 255.255.255.0
設置內網接口信息
int s0/0
ip address 10.0.0.2 255.255.255.0
no ip mroute-cache
no fair-queue
clockrate 64000
設置外網接口信息
crypto map shmap 指定在外網接口應用加密圖
access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
access-list 101 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
設置訪問控制列表101指定需要加密的通信
總結:在總公司和分公司的路由器按照上面介紹的命令設置完畢後,兩個公司之間就建立了×××連接,在上海分公司訪問總公司內部計算機就好象訪問自己內部網絡中的計算機一樣簡單方便,通過網絡傳輸的數據使用了IPSec技術進行加密,任何***使用諸如sniffer監聽到的信息都是加密的,從而安全性得到了保證。