LAN-to-LAN IPsec ×××

阶段1：

对称加密：3des aes

HMAC:sha md5

认证方式：pre-share

DH组：group 1,2,5

lifetime；默认值

身份认证秘钥：cisco

r1(config)#crypto isakmp policy 1

r1(config-isakmp)#encryption 3des         

r1(config-isakmp)#hash sha                

r1(config-isakmp)#authentication pre-share

r1(config-isakmp)#group 2                 

r1(config-isakmp)#exit

#定义了ISAKMP policy 1，加密方式为3des，hash算法为sha，认证方式为Pre-Shared Keys (PSK)，密钥算法（Diffie-Hellman）为group 2。

r1(config)#crypto isakmp key 6 cisco address 23.1.1.3    //0--明文 6--密文

#因为之前定义的认证方式为Pre-Shared Keys (PSK)，所以需要定义认证密码，这里定义与peer 23.1.1.3的认证密码为cisco，并且双方密码必须一致，否则无法建立IKE SA，其中6表示密码在running-config中显示为密文。

阶段2：

需要保护的流量：

源： 目的：

传输集的数据保护方式：  esp-3des ah-sha-hmac

IPsec Mode:默认隧道模式     mode tunnel

lifetime；默认值

保密图的出口地址：

r1(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255

#这里需要被IPsec保护传输的流量为上海公司至北京公司的流量，即10.1.1.0/24发往 192.168.1.0/24的流量，切记不可使用any来表示地址。

r1(config)#crypto ipsec transform-set out esp-3des esp-sha-hmac

r1(cfg-crypto-trans)#exit

#配置了transform-set为out，其中数据封装使用esp加3des加密，并且使用esp结合sha做hash计算，默认的IPsec mode为tunnel。

r1(config)#crypto map mymap 1 ipsec-isakmp

r1(config-crypto-map)#set peer 23.1.1.3

r1(config-crypto-map)#set transform-set out

r1(config-crypto-map)#match address 100

r1(config-crypto-map)#exit

#在R1上配置crypto map为mymap，序号为1，即第1组策略，其中指定加密。数据发往的对端为23.1.1.3，即和23.1.1.3建立IPsec隧道，调用的IPsec transform为out，并且指定ACL 100中的流量为被保护的流量。

r1(config)#int f0/0

r1(config-if)#crypto map mymap

r1(config-if)#exit

r1(config)#

*Mar 1 00:21:45.171: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

#将crypto map应用在去往北京公司的接口F0/0上

设置多点IPsec ×××需要改动的命令：

r1(config)#crypto isakmp key 6 cisco address x.x.x.x

r1(config)#access-list 101 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255

r1(config)#crypto ipsec transform-set out esp-3des esp-sha-hmac

r1(cfg-crypto-trans)#exit

r1(config)#crypto map mymap 2 ipsec-isakmp

r1(config-crypto-map)#set peer x.x.x.x

r1(config-crypto-map)#set transform-set out

r1(config-crypto-map)#match address 101 

r1(config-crypto-map)#exit

r1(config)#int f0/0

r1(config-if)#crypto map mymap

r1(config-if)#exit

r1(config)#

查看IKE（ISAKMP）策略

show crypto isakmp policy 

查看Phase One时的认证密码

show crypto isakmp key

查看IKE SA（ISAKMP SA）

show crypto isakmp sa

查看R1上IKE SA的peer

show crypto isakmp peers

查看R1上的IPsec Transform

show crypto ipsec transform-set

查看R1上的IPsec SA：

show crypto ipsec sa

查看R1上的IPsec SA的Lifetime

show crypto ipsec security-association

查看R1上的crypto map

show crypto map