根据一个朋友的需求,做了2811的SITE TO SITE的×××测试,以下是过程及配置文件。
拓扑如下:
1)、第一步配置IKE策略
office(config)#crypto isakmp enable 启用 IKE/isakmp
office(config)#crypto isakmp policy 1 定义1号策略(定义第一阶段的策略集,用于第一阶段连接)
office(config-isakmp)#authentication pre-share 认证使用预共享;
office(config-isakmp)#encryption 3des 加密方式使用3des
office(config-isakmp)#group 1 (使用Diffie-Hellman group 1加密对称密钥,加密强度768)
- DH group 1: 768-bit key
- DH group 2: 1024-bit key
- DH group 5: 1536-bit key
office(config-isakmp)#hash md5 摘要使用md5
office(config-isakmp)#exit
2)、第二步设置预共享密钥
office(config)#crypto isakmp key ciscokey add 20.20.20.20 #两端要有一致的KEY,20.20.20.20是对端的公网地址
3)、第三步设置传输集
office(config)#crypto map test 110 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.(只有配置了peer和访问列表配置后crypto map才会启用)
4)、第四步配置映射
office(config-crypto-map)#match add 110 (指定匹配的访问列表)
office(config-crypto-map)#set peer 20.20.20.20 指定对端IP地址
office(config-crypto-map)#set peer 172.168.1.20指定对端IP Tunnel地址
office(config-crypto-map)#set transform-set lab 指定传输模式为lab
office(config-crypto-map)#exit
office(config)#access-list 110 permit ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255允许对方内网访问本端内网
5)、第五步应用到接口
office(config)#int f1/0
office(config-if)#crypto map test 应用到WAN接口
以下段配置Tunnel通道(如果不配置Tunnel的话默认会走NAT出去,因此要在NAT的ACL里把到对方内网的访问DENY掉。)
office(config)#interface Tunnel0
office(config-if)#ip address 172.168.1.10 255.255.255.0
office(config-if)#tunnel source FastEthernet1/0
office(config-if)#tunnel destination 20.20.20.20
添加路由:
office(config)#ip route 192.168.200.0 255.255.255.0 172.168.1.20
配置的一个标准IPSEC ×××,这是办公区的配置.IDC区配置也一样,就是PEER IP不一样.
带有K9的应该支持.
以下附上配置文件。
转载于:https://blog.51cto.com/zhupengyue/716980
578
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
