一、你是否熟悉Site-toSite IPSec配置,如果熟悉请跳下一步。
1、绿色序号10是本地排序,越小越优先。通常选3des、MD5、pre-share、group 2。加上sa时间是五元组
2、紫色key是要和对端IPSec配置一致的,IP地址是对端设备
3、传输集是要体现在加密图(crypto map)里面的。三元组:加密、认证和隧道
模式要选择隧道(tunnel)不要选AH,AH无法穿越NAT
+、配置×××感兴趣流
4、绿色序号10是本地排序,一个接口只能应用一个加密图(crypto map)但里面可以加载多个IPSec。
比如后面我们要把Easy×××合并进来,在这里设置另外一个序号就可以了。
5、进入接口,应用加密图(crypto map)到接口
二、DM×××和上述Site-to-Site IPSec配置的不同之处。
1、数字序号2处,Crypto isakmp key XXX address X.X.X.X
改为Crypto isakmp key XXX address 0.0.0.0
2、数字序号4之前,添加一条crypto dynamic-map XXX 10
在这里匹配set transform-set和match address。而且无需set peer。
XXX最终被crypto map引用。
3、数字序号4处,Crypto map XX-to-XX 10 ipsec-isakmp
改为crypto map XX-to-XX 10 ipsec-isakmp dynamic XXX
三、如何叠加Easy××× Server
最后应用加密图(crypto map)使用了序号11(只要不是上面的10就行)。
这样DM×××和Easy×××就都加载进去了。
Happy!