LAN-to-LAN IPsec ×××

wKiom1ORYUvCYjweAALsYJ3Fh5s848.jpg

階段1:

對稱加密:3des aes

HMAC:sha md5

認證方式:pre-share

DH組:group 1,2,5

lifetime;默認值

身份認證祕鑰:cisco


r1(config)#crypto isakmp policy 1

r1(config-isakmp)#encryption 3des         

r1(config-isakmp)#hash sha                

r1(config-isakmp)#authentication pre-share

r1(config-isakmp)#group 2                 

r1(config-isakmp)#exit

#定義了ISAKMP policy 1,加密方式爲3des,hash算法爲sha,認證方式爲Pre-Shared Keys (PSK),密鑰算法(Diffie-Hellman)爲group 2。


r1(config)#crypto isakmp key 6 cisco address 23.1.1.3    //0--明文 6--密文

#因爲之前定義的認證方式爲Pre-Shared Keys (PSK),所以需要定義認證密碼,這裏定義與peer 23.1.1.3的認證密碼爲cisco,並且雙方密碼必須一致,否則無法建立IKE SA,其中6表示密碼在running-config中顯示爲密文。



階段2:

需要保護的流量:

源: 目的:

傳輸集的數據保護方式:  esp-3des ah-sha-hmac

IPsec Mode:默認隧道模式     mode tunnel

lifetime;默認值

保密圖的出口地址:


r1(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255

#這裏需要被IPsec保護傳輸的流量爲上海公司至北京公司的流量,即10.1.1.0/24發往 192.168.1.0/24的流量,切記不可使用any來表示地址。


r1(config)#crypto ipsec transform-set out esp-3des esp-sha-hmac

r1(cfg-crypto-trans)#exit

#配置了transform-set爲out,其中數據封裝使用esp加3des加密,並且使用esp結合sha做hash計算,默認的IPsec mode爲tunnel。


r1(config)#crypto map mymap 1 ipsec-isakmp

r1(config-crypto-map)#set peer 23.1.1.3

r1(config-crypto-map)#set transform-set out

r1(config-crypto-map)#match address 100

r1(config-crypto-map)#exit

#在R1上配置crypto map爲mymap,序號爲1,即第1組策略,其中指定加密。數據發往的對端爲23.1.1.3,即和23.1.1.3建立IPsec隧道,調用的IPsec transform爲out,並且指定ACL 100中的流量爲被保護的流量。


r1(config)#int f0/0

r1(config-if)#crypto map mymap

r1(config-if)#exit

r1(config)#

*Mar 1 00:21:45.171: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

#將crypto map應用在去往北京公司的接口F0/0上



設置多點IPsec ×××需要改動的命令:

r1(config)#crypto isakmp key 6 cisco address x.x.x.x

r1(config)#access-list 101 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255

r1(config)#crypto ipsec transform-set out esp-3des esp-sha-hmac

r1(cfg-crypto-trans)#exit

r1(config)#crypto map mymap 2 ipsec-isakmp

r1(config-crypto-map)#set peer x.x.x.x

r1(config-crypto-map)#set transform-set out

r1(config-crypto-map)#match address 101 

r1(config-crypto-map)#exit


r1(config)#int f0/0

r1(config-if)#crypto map mymap

r1(config-if)#exit

r1(config)#


查看IKE(ISAKMP)策略

show crypto isakmp policy 


查看Phase One時的認證密碼

show crypto isakmp key


查看IKE SA(ISAKMP SA)

show crypto isakmp sa


查看R1上IKE SA的peer

show crypto isakmp peers


查看R1上的IPsec Transform

show crypto ipsec transform-set


查看R1上的IPsec SA:

show crypto ipsec sa


查看R1上的IPsec SA的Lifetime

show crypto ipsec security-association


查看R1上的crypto map

show crypto map




發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章