网工IPsec配置实例笔记

#配置各路由器的接口IP，分别在总部路由器R1和分支机构路由器R2配置接口地址和静态路由

[R1]ip route-static 167.1.1.0.255.255.255.0 168.1.1.2
[R1]ip route-static 172.22.1.0 255.255.255.0 168.1.1.2
[R2]ip route-static 168.1.1.0 255.255.255.0 167.1.1.2
[R2]ip route-static 172.22.1.0 255.255.255.0 167.1.1.2

#在R1上配置ACL定义由子网172.22.1.0/24去子网172.22.2.0/24的数据流

acl number 3101
rule permit ip source 172.22.1.0 0.0.0.255 destination 172.22.2.0 0.0.0.255
quit

#在R2上配置ACL定义由子网172.22.2.0/24去子网172.22.1.0/24的数据流

acl number 3101
rule permit ip source 172.22.2.0 0.0.0.255 destination 172.22.1.0 0.0.0.255
quit

#在R1、R2上配置IPSec安全提议，在R1、R2上执行display ipsec proposal会显示所配置的信息

ipsec proposal tran1					//创建名为tran1的安全提议
esp authentication-algorithm sha2-256	//采用sha2算法认证
esp encryption-algorithm aes-128		//采用aes算法加密
quit

#在R1上配置IKE安全提议

ike proposal 5
encryption-algorithm aes-cbc-128
authentucation-algorithm sha2-256
dh group14
quit

#在R1上配置IKE对等体，并根据默认配置，配置预共享密钥和对端ID

ike peer spub		//创建ike对等实体
undo version2		//使用v2版本
ike-proposal 5		//使用安全提议5
pre-shared-key cipher Huawei
remote-address 167.1.1.1
quit

#在R1上配置IKE动态协商方式安全策略

ipsec policy map1 10 isakmp
ike-peer spub
proposal tran1
security acl 3101
quit

#在R1的接口上引用安全策略

interface gigabitethernet 0/0/1
ipsec policy map1
quit

#验证配置：display ipsec statistics查看数据包的统计信息

最后推荐一个公众号，一枚IT技术人成长路上关于生活和职场的思考，欢迎书友们前来交流和分享心得