總公司與分公司×××連接實現

    配置實例：
公司在北京而分公司在上海，如果租用光纖業務費用會比較高，另外安全性也沒有保證，特別是對內網的訪問方面。我們要在總公司和分公司之間建立有效的×××連接。具體網絡拓撲如圖1所示。北京路由器名爲RT-BJ，通過10.0.0.1/24接口和上海路由器連接，另一個接口連接北京公司內部的計算機172.16.1.0/24；上海路由器名爲RT-SH，通過10.0.0.2/24接口和總公司路由器連接，另一個接口連接分公司內部的計算機172.16.2.0/24。

    配置命令：

    總公司路由器：

    crypto isakmp policy 1    創建ISAKMP策略，優先級爲1

    encryption des    指定ISAKMP策略使用DES進行加密

    hash sha    指定ISAKMP策略使用MD5進行HASH運算

    authentication pro-share    指定ISAKMP策略使用預共享密鑰的方式對上海分公司路由器進行身份驗證。

    group 1    指定ISAKMP策略使用10位密鑰算法

    lifetime 28800    指定ISAKMP策略創建的ISAKMP SA的有效期爲28800秒，默認爲86400秒。

    crypto isakmp identity address    指定ISAKMP與分部路由器進行身份認證時使用IP地址作爲標誌。

    crypto isakmp key cisco123 address 10.0.0.2    指定ISAKMP與分部路由器進行身份認證時使用預共享密鑰。

    crypto ipsec transform-set bjset esp-des esp-md5-hmac    配置IPSec交換集

    crypto map bjmap 1 ipsec-isakmp    創建加密圖

    set peer 10.0.0.2    指定加密圖用於分支路由器建立×××連接

    set transform-set bjset    指定加密圖使用的IPSec交換集。

    match address 101    指定使用此加密圖進行加密的通信，用訪問控制列表來定義

    int fa0/0
    ip address 172.16.1.1 255.255.255.0

    設置內網接口

    int s0/0
    ip address 10.0.0.1 255.255.255.0
    no ip mroute-cache
    no fair-queue
    clockrate 64000
    crypto map bjmap

    設置外網接口並指定在該接口上應用配置好的加密圖

    access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
    access-list 101 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255

    配置訪問控制列表指定需要加密的通信

    上海分公司路由器：

    在總部上設置完後還需要在上海分公司進行設置，只有雙方在加密等協議方面統一了標準才能正常通訊。

    crypto isakmp policy 1    創建ISAKMP策略，優先級爲1

    encryption des

    指定ISAKMP策略使用DES進行加密

    hash sha    指定ISAKMP策略使用MD5進行HASH運算

    authentication pre-share    指定ISAKMP策略使用預共享密鑰的方式對北京總公司路由器進行身份驗證

    group 1    指定ISAKMP策略使用10位密鑰的算法

    lifetime 28800    指定ISAKMP策略創建的ISAKMP SA的有效期爲28800秒。默認爲86400秒。

    crypto isakmp identity address    指定ISAKMP與總部路由器進行身份驗證時使用IP地址作爲標識。

    crypto isakmp key cisco123 address 10.0.0.1    指定ISAKMP與總部路由器進行身份認證時使用預共享密鑰。

    crypto ipsec transform-set shset esp-des esp-md5-hmac    配置IPSec交換集。

    crypto map shmap 1 ipsec-isakmp    創建一個加密圖，序號爲1，使用ISAKMP協商創建SA
set peer 10.0.0.1

    指定加密圖用於上海分公司路由器建立×××連接

    set transform-set shset    指定加密圖使用IPSEC交換集

    match address 101    指定使用此加密圖進行加密的通信，通過訪問控制列表來定義

    int fa0/0
    ip address 172.16.2.1 255.255.255.0

    設置內網接口信息

    int s0/0
    ip address 10.0.0.2 255.255.255.0
    no ip mroute-cache
    no fair-queue
    clockrate 64000

    設置外網接口信息

    crypto map shmap    指定在外網接口應用加密圖

    access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
    access-list 101 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255

    設置訪問控制列表101指定需要加密的通信

    總結：在總公司和分公司的路由器按照上面介紹的命令設置完畢後，兩個公司之間就建立了×××連接，在上海分公司訪問總公司內部計算機就好象訪問自己內部網絡中的計算機一樣簡單方便，通過網絡傳輸的數據使用了IPSec技術進行加密，任何***使用諸如sniffer監聽到的信息都是加密的，從而安全性得到了保證。