拓扑:
R2模拟总部出口,R3模拟分支出口,R4,R5分别模拟对于内网设备
目的:
使用ipsec vpn打通两端内网
整体配置思路:
1.建立vpn的前提是隧道两端的公网ip网络可达
2.需要配置第一阶段(DH协商,预共享密钥),第二阶段(感兴趣流,转换集(封装协议,封装模式)触发MAP匹配感兴趣流)
3.调用MAP到出口端口
具体配置:
第一阶段
配置DH协商(第一二个报文交互)
crypto isakmp policy 10
encryption aes 256 //加密算法
authentication pre-share //只能选择预共享密钥认证
group 2
lifetime 3600//密钥生存时间
Ex
配置域共享密钥
crypto isakmp key 6 luodp address 13.1.1.3(对端隧道地址)
crypto ipsec transform-set test esp-aes 256 esp-sha-hmac
mode tunnel
Ex
配置感兴趣流
Access-list 102 permit ip aaaa 0.0.0.255 bbbb 0.0.0.255
第二阶段,SA协商,配置MAP(触发隧道的条件)
crypto map text 10 ipsec-isakmp
set peer 13.1.1.3(对端隧道地址)
set transform-set test //调用test
match address 102
Trouble shooting:
常用的show命令:
1.查看第一阶段建立情况
第一阶段建立不成功的情况可能是网络不可达,参数配置不匹配
2.查看第二阶段建立情况
第二阶段建立不成功的因素可能是感兴趣流或者参数配置不匹配
3.如果网络还是不可达,可能是接口没有调用map