目录
拓扑图
AR1 | Gi0/0 | 10.10.1.2 |
Gi0/1 | 10.10.14.1 | |
IPS | Gi0/0 | 10.10.2.2 |
Gi0/1 | 10.10.14.4 | |
Gi0/2 | 10.10.24.4 | |
AR2 | Gi0/2 | 10.10.24.2 |
PC1 | eth0 | 10.10.1.1 |
PC2 | eth0 | 10.10.2.1 |
实验要求
- AR1与AR3建立ipsec(预共享)
- AR1与AR2建立ipsec(证书)
- pc1访问AR3和AR2回环时,走vpn
- pc1通过nat的方式访问pc2
AR1思科与AR2思科设备配置
#AR1和AR2配置相同
crypto key generate rsa modulus 1024 label AR1 #产生密钥对AR1
crypto pki trustpoint win2012 #建立一个CA信任点
rsakeypair AR1 #指定密钥对
subject-name cn=AR1,ou=NS,o=yinhe #基本信息,随便写
enrollment terminal #使用terminal模式注册
revocation-check none #关闭吊销列表
CA服务器
AR1和AR2配置相同
crypto pki authenticate win2012 #导入CA证书
AR1和AR2配置相同
crypto pki enroll win2012 #向CA登记请求证书
从MIIBo到fVmLW 中间的那一串乱码就是获得的AR1证书请求文件,复制下来用于申请证书用
AR1和AR2配置相同
crypto pki import win2012 certificate #导入CA颁发的证书
AR1和AR2配置相同
show crypto pki certificates #查看所有的证书
#AR1和AR2配置相同,但注意IP
ip route 0.0.0.0 0.0.0.0 10.10.24.4 #AR1和AR2添加静态路由
crypto pki certificate map cert-acl 10 #证书映射
subject-name co ou=NS
crypto isakmp policy 10 #AR1和AR2配置IPSec
encryption 3des
hash md5
group 5
authentication rsa-sig
crypto isakmp profile pki #配置IKE
ca trust-point win2012
match certificate cert-acl
crypto ipsec transform-set L2L esp-3des esp-sha-hmac #IPsec策略
ip access-list extended vpn #ACL策略
permit ip 10.10.20.0 0.0.0.255 10.10.1.0 0.0.0.255
crypto map IPsec 10 ipsec-isakmp #安全策略模板
set peer 10.10.14.1
set transform-set L2L
match address vpn
set isakmp-profile pki
int g0/2 #把策略模板绑定到接口
crypto map IPsec
show crypto session #查看建立情况
AR1思科与AR3华三设备配置
#AR1配置
crypto isakmp policy 20 #配置第一阶段策略
encryption 3des
hash sha256
authentication pre-share
group 5
crypto isakmp key 123 address 10.10.34.3 #定义对等体及其PSK(域共享密钥):
crypto ipsec transform-set ipsec esp-3des esp-sha256-hmac #配置第二阶段策略
ip route 0.0.0.0 0.0.0.0 10.10.14.4 #定义感兴趣的流量和路由协议
access-list 100 permit ip 10.10.1.0 0.0.0.255 10.10.30.0 0.0.0.255
crypto map IPsec 20 ipsec-isakmp #定义map
match address 100 #关联acl
set peer 10.10.34.3 #指定对端地址
set transform-set ipsec #关联第二阶段策略
inter g0/0 #应用在接口上
crypto map IPsec
#AR3配置
ike proposal 1 #配置ike提议
encryption-algorithm 3des-cbc
authentication-algorithm sha256
dh group5
ike keychain 1 #创建域共享密钥
pre-shared-key address 10.10.14.1 255.255.255.255 key simple 123
ike profile 1 #创建ike策略
keychain 1
local-identity address 10.0.34.3
match remote identity address 10.10.14.1 255.255.255.0
ipsec transform-set 1 #创建IPSec安全提议
esp encryption-algorithm 3des-cbc
esp authentication-algorithm sha256
ip route 0.0.0.0 0.0.0.0 10.10.34.4 #路由协议和acl
acl advanced 3000
rule 5 permit ip source 10.10.30.0 0.0.0.255 destination 10.10.1.0 0.0.0.255
IPSec policy map1 10 isakmp #创建ipsec安全策略
remote-address 10.10.14.1
security acl 3000
transform-set 1 #引用的ipsec安全提议
ike-profile 1 #引用的ike策略
int g4/0 #应用到接口
IPSec apply policy map1
AR1配置NAT
思科的nat的规则要优先于map的规则。
10.10.1.0 的网段进入路由器,匹配的nat的策略,nat修改的就是IP头等信息。实际上策略 nat已经匹配了,那么其他两个acl就不会再匹配了