注意!internet 靠routerA,IP为2.2.2.2,靠routerB,IP为2.2.3.2。
如图,Router A和 Router B模拟的是两个内部网络的出口设备,本案例为路由器。
Router A和 Router B建立ipsec隧道,使得internet中的设备不需要做任何的配置更改,即可完成由一个局域网到另一个局域网的通信,在大量场景中实际运用。
router A:
int g0/2 //进入wan口
ip add 2.2.2.1 24 //配置地址
quit
int g0/1
ip add 10.1.1.1.1 24
quit
ip route-static 0.0.0.0 0 2.2.2.2 //根据需求配置默认路由,需要走ips隧道的下一跳地址
router B:
int g0/2 //进入wan口
ip add 2.2.3.1 24 //配置地址
quit
int g0/1
ip add 10.1.2.1.1 24
quit
ip route-static 0.0.0.0 0 2.2.3.2 //根据需求配置默认路由,需要走ips隧道的下一跳地址
routerA:
acl num 3001 //创建acl
rule 5 per ip sou 10.1.1.0 0.0.0.255 des 10.1.2.0 0.0.0.255
quit //设置感兴趣的数据流,本地内地址到对端内地址
ipsec trans tran1 //开启ips,新建规则tran1
encapsulation-mode tunnel //转发模式设置为隧道转发
protocol esp //协议类型默认esp
esp encry aes-cbc-128 //加密类型 128比特
esp auth sha1 //密钥类型sha1
quit
routerB:
acl num 3001 //创建acl
rule 5 per ip sou 10.1.2.0 0.0.0.255 des 10.1.1.0 0.0.0.255
quit //设置感兴趣的数据流,本地内地址到对端内地址.
ipsec trans tran1 //开启ips,新建规则tran1
encapsulation-mode tunnel //转发模式设置为隧道转发
protocol esp //协议类型默认esp
esp encry aes-cbc-128 //加密类型 128比特
esp auth sha1 //密钥类型sha1
quit
routerA:
ike key C1 //创建ike 钥匙 C1
pre-shared-key address 2.2.3.1 255.255.255.255 key simple 123456
quit //邻居地址为对端出口设备地址,掩码网上找的资料都是255.255.255.0,配置上去隧道可以建立但无法转发,随即修改为3个255,可以转发,此处大家可以按照现实选择配置。
//配置明文密码123456
ike profile C1 //创建ike 简介C1
keychain C1 //引用之前配置的钥匙
match remote identity address 2.2.3.1 255.255.255.0 //配置对端出口设备ip
local-identity address 2.2.2.1 //本地设备IP。此处有的案例省略此条命令
quit
ipsec policy policy1 1 isakmp //新建ipsec 策略 policy1 序号1
des C1 //描述
transform-set tran1 //引用之前建立的IPSec加密规则
sec acl 3001 //引用acl匹配感兴趣的数据
local-address 2.2.2.1 //本地设备ip
remote-address 2.2.3.1 //对端设备IP
ike-profile C1 //引用ike规则
quit
routerA:
ike key C1 //创建ike 钥匙 C1
pre-shared-key address 2.2.2.1 255.255.255.255 key simple 123456
quit //邻居地址为对端出口设备地址,掩码网上找的资料都是255.255.255.0,配置上去隧道可以建立但无法转发,随即修改为3个255,可以转发,此处大家可以按照现实选择配置。
//配置明文密码123456
ike profile C1 //创建ike 简介C1
keychain C1 //引用之前配置的钥匙
match remote identity address 2.2.2.1 255.255.255.0 //配置对端出口设备ip
local-identity address 2.2.3.1 //本地设备IP。此处有的案例省略此条命令
quit
ipsec policy policy1 1 isakmp //新建ipsec 策略 policy1 序号1
des C1 //描述
transform-set tran1 //引用之前建立的IPSec加密规则
sec acl 3001 //引用acl匹配感兴趣的数据
local-address 2.2.3.1 //本地设备ip
remote-address 2.2.2.1 //对端设备IP
ike-profile C1 //引用ike规则
quit
router A:
int g0/2
ipsec apply policy policy1 //在设备wan口引用ipsec 策略 policy1
quit
routerB:
int g0/2
ipsec apply policy policy1 //在设备wan口引用ipsec 策略 policy1
quit
不写其他路由的情况下,hostA到 hostB之前可以ping通就表示ipsec隧道建立成功了。
在internet上抓的包源地址为routerA 目的地地址为routerB。
其他验证方法网上找找这里就不多赘述。如果配置有遗漏或其他问题欢迎评论区留言