小型企业网络构架：IPSec VPN安全加密技术

路由方面的配置

R1(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2        R1去往R2的下一跳

配置 ISAKMP 策略     

R1(config)#crypto isakmp policy 1                加密 isakmp 政策 1  

R1(config-isakmap)#encryption 3des                3 des加密

                                      对称加密算法  DES  3DES  AES

                                      非对称加密算法的 原理  RSA（使用三位数学家名字的首字母来命名）  

                                      DSA（Digital Signature Algorithm，数字签名算法）

                                      非对称 加密算法

                                      公钥加密，私钥解密

                                      私钥签名，公钥解密

                                      基于大素数分解

R1(config-isakmap)#hash sha                    使用sha  Secure Hash Algorithm ，安全散列算法

                                      MD5 （Message-digest Algorithm 5 ，信息- 摘要算法）

                                      SHA （Secure Hash Algorithm ，安全散列算法）

R1(config-isakmap)#authentication pre-share         预共享密钥

R1(config-isakmap)#group 2                     DH （Diffie-Hellman ，迪菲- 赫尔曼）密钥长度 1-768  2-1024  5-1536

R1(config)#crypto isakmp key tedu address 200.0.0.1    密码 isakmp 密钥 tedu 地址200.0.0.1

配置 ACL

R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255   

            列表 100 允许 源ip 172.16.10.0    目标ip10.10.33.0 0.0.0.255 

配置 IPSec 策略（转换集）

R1(config)#crypto ipsec transform-set yf-set ah-sha-hmac esp-des    隐式 网络协议安全 显示在路由上设置的 - 设置的埃-斯-夏-哈麦  

配置加密映射集

R1(config)#crypto map yf-map 1 ipsec-isakmp           秘密赞同 映射 yf-map 1 ipsec-isakmp

R1(config-crypto-map)#set peer 200.0.0.1             集合 对等 200.0.0.1 

R1(config-crypto-map)#set transform-set yf-set         集合 显示在路由上设置的 yf-set

R1(config-crypto-map)#match address 100              匹配 地址 100

将映射集应用在接口

R1(config)#interface f0/0                       进入端口f/0

R1(config-if)#crypto map yf-map                   秘密 映射  yf-map   

                

2．总公司的网关路由器

路由方面的配置

R2(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2         下一跳 200.0.0.2

IPSec ××× 方面的配置                              

R2(config)#crypto isakmp policy 1                 加密isakmp政策1

R2(config-isakmap)#encryption 3des                3 des加密

R2(config-isakmap)#hash sha                     使用安全散列算法

R2(config-isakmap)#authentication pre-share          身份验证预共享密钥

R2(config-isakmap)# group 2                     DH密码长度1024

R2(config)#crypto isakmp key tedu address 100.0.0.1     密码 isakmp 密钥 tedu 地址 100.0.0.1

配置 ACL

R2(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255     

  访问列表 100 允许 源ip 10.10.33.0.0 0.0.0.255 目标地址172.16.10.0 0.0.0.255

配置 IPSec 策略（转换集）

R2(config)#crypto ipsec transform-set yf-set ah-sha-hmac esp-des 

//加密和认证算法要与分公司匹配

R2(config)#crypto map yf-map 1 ipsec-isakmp           隐映射yf映射1 ipseca-isakmp

R2(config-crypto-map)#set peer 100.0.0.1             设置对等 100.0.0.1

R2(config-crypto-map)#set transform-set yf-set         设置 显示在路由上设置的

R2(config-crypto-map)#match address 100              匹配地址100

R2(config)#interface f0/0                       进入 f/0

R2(config-if)#crypto map yf-map                   加密映射

测试：

Ping 或访问 Web 服务。

验证成功