本文详细介绍如何在路由器R1和R3之间配置IPSec隧道,包括启用ISAKMP/IKE、设置共享密钥、定义访问控制列表及路由策略等步骤。
(192.168.2.1)R1(<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />10.10.1.1)-----(10.10.1.2)R2(10.10.2.1)---------(10.10.2.2)R3(172.16.1.1)/24<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
一、R1
1、 crypto isakmp enable 启用ISAKMP/IKE
Crypto isakmp identity address 定义发送的身份为IP地址
Crypto isakmp policy 1 定义策略,即用于管理连接的策略
Authentication pre-share
Encryption des
Hash md5
Group 1
Lifetime 86400
Exit
2、 crypto isakmp key 0 123 address 10.10.2.2 255.255.255.255 no-xauth 定义共享密钥
3、 ip access-list extended ***acl
Permit ip 192.168.2.0 0.0.0.255 172.16.1.0 0.0.0.255 定义需要保护的数据量
4、 ip route 0.0.0.0 0.0.0.0 10.10.1.2 因为不管隧道是否建立,出口处均要用外接口地址
5、 crypto ipsec transform-set r3 esp-md5-hmac esp-des 定义变换集即为保护方法
6、 crypto map tor3 100 ipsec-isakmp 定义保护流量应该转发给谁
Set peer 10.10.2.2
Set transform-set r3
Match address ***acl
Mode tunnel
7、如果在出站接口上有ACL,则一定要为IPSEC协商过程中的未保护流量定义ACL
Access-list 102 permit udp host 10.10.2.2 host 10.10.1.1 eq 500
Access-list 102 permit esp host 10.10.2.2 host 10.10.1.1
Access-list 102 ip 172.16.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Deny ip any any
8、在外部接口激活ACL和MAP
Int s1/0
Ip access-group 102 in
Crypto map tor3
二、R3上只需改变以下对应项即可
2、crypto isakmp key 123 address 10.10.1.1 255.255.255.255 no-xauth
3 ip access-list extended ***acl
Permit ip 172.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
4 ip route 0.0.0.0 0.0.0.0 10.10.2.1
5 crypto ipsec transform-set r1 esp-md5-hmac esp-des
6 crypto map tor1 100 ipsec-isakmp
set peer 10.10.1.1
set transform-set r1
7 access-list 102 permit ip 192.168.2.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 102 permit udp host 10.10.1.1 host 10.10.2.2 eq 500
access-list 102 permit esp host 10.10.1.1 host 10.10.2.2
8 int s1/0
ip access-group 102 in
crypto map tor1
转载于:https://blog.51cto.com/liyulong/51902
扫一扫
32
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
