最近工作遇到IPSec ***的配置,在此记录一下,以供今后查阅。

拓扑:

R1 -- R2 -- R3

R1:总公司

f0/0: 100.100.100.1/24

lo0: 172.16.1.1/24       //用lo0来模拟内网

ip route 0.0.0.0 0.0.0.0 100.100.100.2

R2:模拟运营商

f0/0: 100.100.100.2/24

f0/1: 200.200.200.2/24

R3:分据点

f0/1: 200.200.200.3/24

lo0: 192.168.1.3/24      //用lo0来模拟内网

ip route 0.0.0.0 0.0.0.0 200.200.200.2

初始测试:

R1: ping 200.200.200.3   !!!!!       //R1和R3之间通信建立

R1: ping 192.168.1.3 so 172.16.1.1   .....  // 分据点无法访问总公司

目标:通过配置IPSec ***使分据点可以访问总公司内网。

R1:

crypto isakmp enable        启用IKE/isakmp(建立传送IPsec隧道参数的隧道)

步骤一:
crypto isakmp policy 1            设置isakmp策略
  authentication pre-share                  身份验证方法:pre-share/rsa-encr/rsa-sig
  encryption 3des          加密的方法:des/3des/aes
  group 5             传密钥的方法D-H算法:1/2/5
  hash sha             完整性的方法:md5/sha

crypto isakmp key cisco address 200.200.200.3         设定预共享密钥是cisco,IKE/isakmp对端ip是200.200.200.3

步骤二:
crypto ipsec transform-set 10 esp-3des ah-sha-hmac       配置IPSec转换集合
  **mode tunnel           采用隧道模式还是传输模式tunnel/transport

**crypto ipsec security-association lifetime seconds 3600    IPSec安全关联存在的时间

access-list 100 permit ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255        什么样的流量要进隧道加密,设定源网段和目的网段


crypto map mymap 110 ipsec-isakmp         建立加密映射
  match address 100          访问控制列表101的流量要加密
  set peer 200.200.200.3        IPSEC SA对端是200.200.200.3
  set transform-set 10          IPSEC SA的参数采用转换集名称10

int f0/0
  crypto map mymap        加密映射应用到接口上

R3:配置与R1相对应

验证:

show crypto isakmp policy          查看IKE/isakmp策略

show crypto isakmp sa         查看IKE/isakmp的安全关联
  dst src state conn-id slot status
  192.168.0.1 192.168.0.2 QM_IDLE 1 0 ACTIVE

R1:ping 192.168.1.3 so 172.16.1.1   !!!!!