第一步:路由
R1:
ip route 2.2.2.0 255.255.255.0 121.233.1.2
R2:
ip route 1.1.1.0 255.255.255.0 121.233.1.1
加密设备需要的路由:
1.对端加密点的路由
在该实验中,直连可达
2.感兴趣流目的的路由(对端的内部网络)
----------------------------------------------------------------------------------------
第二步:ISAKMP policy
R1:
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key cisco address 121.233.1.2
R2:
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key cisco address 121.233.1.1
一个ISAKMP policy定义了管理连接是如何被建立、验证和保护的。
如果在策略中没有指定特殊的参数,就使用默认的值
加密算法:DES
HMAC功能:SHA-1
验证方法:RSA签名(数字证书)
DH组:1
生存周期:86400s
-----------------------------------------------------------------------------------------
第三步:IPSec Policy
R1:
crypto ipsec transform-set Trans esp-des esp-md5-hmac
R2:
crypto ipsec transform-set Trans esp-des esp-md5-hmac
一个transform-set定义了数据流量是如何被保护的。
-----------------------------------------------------------------------------------------
第四步:感兴趣流
R1:
ip access-list extended ×××
permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
R2:
ip access-list extended ×××
permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
通过crypto acl定义什么样的数据流量应当被保护。
注意:cisco非常不提倡在crypto acl中使用关键字any,可能会出现问题,而且大部分时间都会出现问题。
------------------------------------------------------------------------------------------
第五步:crypto map
R1:
crypto map MAP 10 ipsec-isakmp
set peer 121.233.1.2
set transform-set Trans
match address ×××
R2:
crypto map MAP 10 ipsec-isakmp
set peer 121.233.1.1
set transform-set Trans
match address ×××
--------------------------------------------------------------------------------------------
第六步:将crypto map应用于接口
R1:
int fa 0/0
crypto map MAP
R2:
int fa 0/0
crypto map MAP
----------------------------------------------------------------------------------------------
第七步:验证
R1:
ping 2.2.2.2 source 1.1.1.1
show crypto isakmp sa
show crypto ipsec sa
show crypto engine connection active
