ipsec-vpn配置实例

《ipsec-vpn配置实例》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、网络拓扑环境：接口地址都已经配置完，路由也配置了，双方可以互相通信了密钥认证的算法2种：md5和sha1加密算法2种：des和3desIPsec传输模式3种：AH验证参数:ah-md5-hmac(md5验证)、ah-sha-hmac(sha1验证)ESP加密参数：esp-des(des加密)、esp-3des(3des加密)、esp-null（不对数据进行加密）ESP验证参数：esp-md5-hmac(md5验证)、esp-sha-hmac(采用sha1验证)1启用IKE协商routerArouterA(config）#cryptoisakmppo

2、licy1  建立IKE协商策略（1是策略编号1-1000，号越小，优先级越高routerA(config-isakmap)#hashmd5 密钥认证的算法routerA(config-isakmap)#authenticationpre-share  告诉路由使用预先共享的密钥routerA(config)#cryptoisakmpkey123456address20.20.20.22  (123456是设置的共享密20.20.20.22是对端的IP地址）。routerBrouterB(config)#cryptoisakmppolicy1rou

3、terB(config-isakmap)#hashmd5 routerB(config-isakmap)#authenticationpre-share  routerB(config)#cryptoisakmpkey123456address20.20.20.21  (路由B和A的配置除了这里的对端IP地址变成了20.20.20.21，其他都要一样的）。2配置IPSec相关参数routerArouterA(cnfog)#cryptoipsectransform-settest ah-md5-hamcesp-des (test传输模式的名称。ah-

4、md5-hamcesp-des表示传输模式中采用的验证和加密参数 ）。routerA(config)#access-list101permitip192.168.1.00.0.0.255192.168.2.00.0.0.255（定义哪些地址的报文加密或是不加密）routerBrouterB(config)#cryptoipsectransform-settestah-md5-hamcesp-desrouterB(config)#acess-list101permitip192.168.2.00.0.0.255192.168.1.00.0.0.255

5、（路由器B和A的配置除了这里的源和目的IP地址变了，其他都一样）3设置cryptomap（目的把IKE的协商信息和IPSec的参数，整合到一起，起一个名字）routerArouterA(config)#cryptomaptestmap1ipsec-isakmp (testmap:给cryptomap起的名字。1：优先级。ipsec-isakmp:表示此IPSec链接采用IKE自动协商）routerA(config-crypto-map)#setpeer20.20.20.22  (指定此VPN链路，对端的IP地址）。routerA(config-cr

6、ypto-map)#settransform-settest (IPSec传输模式的名字）routerA(config-crypto-map)#matchaddress101 (上面定义的ACL列表号）routeBrouterB(config)#cryptomaptestmap1ipsec-isakmp routerB(config-crypto-map)#setpeer20.20.20.21 （和A路由的配置只有这里的对端IP不一样）routerB(config-crypto-map)#settransform-settestrouterB(co

7、nfig-crypto-map)#matchaddress1014把cryptomap的名字应用到端口routerA(config)#inters0/0(进入应用VPN的接口）routerA(config-if)#cryptomaptestmap （testmap：cryptomap的名字）B路由和A完全一样。查看VPN的配置查看安全联盟（SA）Router#showcryptoipsecsa显示cryptomap内的所有配置router#showcryptomap查看优先级router#showcryptoisakmppolicy