IPSec ***配置命令

 

wKioL1QITOOD_C4EAAD9_QFVNHU315.jpg 

 

底层用静态路由连通

R2(config)#ip route 1.1.1.0 255.255.255.0 10.1.1.10

R2(config)#ip route 2.2.2.0 255.255.255.0 202.100.1.10 //这条路由在现实环境中由默认路由代替,由于11112222的数据包被加密,Internet上不会出现去往2222的明文数据包。

R2(config)#ip route 61.128.1.0 255.255.255.0 202.100.1.10

 

R1(config)#ip route 2.2.2.0 255.255.255.0 10.1.1.1

 

R4(config)#ip route 1.1.1.0 255.255.255.0 61.128.1.10

R4(config)#ip route 202.100.1.0 255.255.255.0 61.128.1.10

 

 

 

 

IPSec ***加密过程

1.明文数据包11112222Site1的内部接口进入路由器

2.查询路由表,按静态路由出去

3.铭文数据包尝试在F0/1接口出去,遇到crypto map匹配的感兴趣流

4.所匹配的感兴趣流会触发加密行为,产生新的数据包

5.加密产生的新数据包目的61.128.1.1,查路由表

 

 

 

IKE第一阶段

R2(config)#crypto isakmp enable   //激活ISAKMP,模拟器默认关闭,真机开启

R2(config)#crypto isakmp policy 10  //这个数字本地有效

R2(config-isakmp)#authentication pre-share  //认证方式为预共享密钥,默认为数字签名认证

R2(config-isakmp)#encryption 3des   //IKE数据包加密算法使用3DES,默认为DES

R2(config-isakmp)#hash md5     //IKE数据包完整性校验的散列算法使用MD5,默认SHA-1

R2(config-isakmp)#group 2       //DH交换使用使用Group2,默认Group1

R2(config)#crypto isakmp key 0 L2Lkey address 61.128.1.1 //预共享密钥认证的共享秘密为L2Lkey,且仅用于此认证

 

 

 

IKE第二阶段

 

配置Site1转换策略

Site1(config)#ip access-list extended ***   //设置感兴趣流

Site1(config-ext-nacl)#permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255  //满足此兴趣流的被加密

Site1(config)#cry ipsec transform-set Trans esp-des esp-md5-hmac  //转换具体数据的策略,名字Trans,封装ESP,加密DES,完整性校验MD5

Site1(config)#crypto map cry-map 10 ipsec-isakmp    //ID10标记*** 一个map可以匹配多个ID,一个接口关联一个map

% NOTE: This new crypto map will remain disabled until a peer

        and a valid access list have been configured.   //日志消息提示要关联ACL才能生效

Site1(config-crypto-map)#match address ***      //匹配感兴趣流

Site1(config-crypto-map)#set transform-set Trans  //具体转换策略

Site1(config-crypto-map)#set peer 61.128.1.1     //指明对端接口地址

Site1(config-crypto-map)#set pfs group2        //启用pfs

Site1(config-crypto-map)#set security-association lifetime seconds 1800   //设置IPSec SA生存周期

Site1(config)#interface f0/1 

Site1(config-if)#crypto map cry-map     //crypto map应用到接口

*Sep  4 16:29:16.375: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON //日志消息ISAKMP开启了

 

 

 

 

配置Site2

Internet(config)#crypto isakmp policy 10

Internet(config-isakmp)#encryption 3des 

Internet(config-isakmp)#authentication pre-share 

Internet(config-isakmp)#hash md5 

Internet(config-isakmp)#group 2

Internet(config)#crypto isakmp key 0 L2Lkey address 202.100.1.1

Internet(config)#ip access-list extended ***

Internet(config-ext-nacl)#permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

Internet(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac 

Internet(config)#cry map cisco 10 ipsec-isakmp 

Internet(config-crypto-map)#match add ***

Internet(config-crypto-map)#set transform-set cisco

Internet(config-crypto-map)#set peer 202.128.1.1

Internet(config)#int f0/0

Internet(config-if)#crypto map cisco