拓扑:
加密点和通信点
加密点10.1.1.1---10.1.1.2,通信点,1.1.1.1-2.2.2.2
说明:看这篇文章的前提是 ,你已经知道了怎么样申请证书。已经初步了解了证书的基本原理和一些域名的知识。这些细节,需要的可以百度相关命令。
配置CA:
hostname CA//配置主机名
!
clock timezone GMT +8 //时区
!
ip domain name ipsec.net //域名
!
CRYpto key generate rsa usage-keys label CA modulus 1024//这个步骤是可选的,不配置自动执行
!
crypto pki server CA // 证书服务器配置
database level complete//证书的层次 默认是最小
issuer-name cn=CA.ipsec.net// 域名
grant auto //自动办法证书
!
interface FastEthernet0/0
ip address 10.1.1.254 255.255.255.0
duplex auto
speed auto
!
ip http server//启动HTTP 服务
ntp master //NTP master
R1配置:
hostname R1
clock timezone GMT 8
ip domain name ipsec.net
!
crypto pki trustpoint R1
enrollment url http://10.1.1.254:80
serial-number
fqdn R2.ipsec.net
subject-name cn=R1.ipsec.net
revocation-check crl
!
crypto isakmp policy 10
!
!
crypto ipsec transform-set trans esp-des esp-md5-hmac
!
crypto map smap 10 ipsec-isakmp
set peer 10.1.1.2
set transform-set trans
match address vpn
!
interface Loopback0
ip address 1.1.1.1 255.255.255.0
!
interface FastEthernet0/0
ip address 10.1.1.1 255.255.255.0
duplex auto
speed auto
crypto map smap
!
ip route 2.2.2.0 255.255.255.0 10.1.1.2
!
ip access-list extended vpn
permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
ntp server 10.1.1.254
R2配置:
hostname R2
!
memory-size iomem 5
clock timezone GMT 8
ip domain name ipsec.net
!
crypto pki trustpoint R2
enrollment url http://10.1.1.254:80
serial-number //包括序列号
fqdn R2.ipsec.net
subject-name cn=R2.ipsec.net
revocation-check crl
!
crypto isakmp policy 10
!
!
crypto ipsec transform-set trans esp-des esp-md5-hmac
!
crypto map smap 10 ipsec-isakmp
set peer 10.1.1.1
set transform-set trans
match address vpn
!
interface Loopback0
ip address 2.2.2.2 255.255.255.0
!
interface FastEthernet0/0
ip address 10.1.1.2 255.255.255.0
duplex auto
speed auto
crypto map smap
!
ip route 1.1.1.0 255.255.255.0 10.1.1.1
!
permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
!
ntp server 10.1.1.254
说明:证书对时间非常敏感,一定注意时间问题.,可以使用SHOW NTP ST命令查看时间已经同步以后再做客户端配置。
验证: