实验拓扑:
RT1的配置:(这一次用主模式配置main mode)
1、连通性配置:
interface s0/0
encap ppp
ip address 172.1.1.2 255.255.255.252
no shutdown
interface e1/0
ip address 192.168.20.1 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.1.1.1//缺省路由配置
2、IKE第一阶段配置
crypto isakmp enable//开启isakmp
crypto isakmp policy 10
encr 3des//加密算法
authentication pre-share//认证算法
group 2//DH算法(1024位的直线型的算法)
hash sha//完整性检查算法
lifetime 86400//IKE SA 生存时间
exit
crypto isakmp identity address//发送一些标识材料
crypto isakmp key shuxia address 172.1.2.2//协商对等体的密钥为shuxia
3、第二阶段的配置
crypto ipsec transform-set t10 esp-3des esp-sha-hmac //配置IPSEC的加密算法、预共享算法
access-list 102 permit ip 192.168.20.0 0.0.0.255 192.168.36.0 0.0.0.255//配置感兴趣流
crypto map p1 10 ipsec-isakmp //map图的捆绑(三个因素)
set peer 172.1.2.2//配置对等体
set transform-set t10 //配置变换集
match address 102//匹配感兴趣流
4、应用在接口上
interface s0/0
crypto map p1
exit
RT2的配置:
1、连通性配置:
interface s0/0
encap ppp
ip address 172.1.2.2 255.255.255.252
no shutdown
interface e1/0
ip address 192.168.36.1 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.1.2.1//缺省路由配置
2、IKE第一阶段配置
crypto isakmp enable//开启isakmp
crypto isakmp policy 10
encr 3des//加密算法
authentication pre-share//认证算法
group 2//DH算法(1024位的直线型的算法)
hash sha//完整性检查算法
lifetime 86400//IKE SA 生存时间
exit
crypto isakmp identity address//发送一些标识材料
crypto isakmp key shuxia address 172.1.1.2//协商对等体的密钥为shuxia
3、第二阶段的配置
crypto ipsec transform-set t10 esp-3des esp-sha-hmac //配置IPSEC的加密算法、预共享算法
access-list 102 permit ip 192.168.36.0 0.0.0.255 192.168.20.0 0.0.0.255//配置感兴趣流
crypto map p1 10 ipsec-isakmp //map图的捆绑(三个因素)
set peer 172.1.1.2//配置对等体
set transform-set t10 //配置变换集
match address 102//匹配感兴趣流
4、应用在接口上
interface s0/0
crypto map p1
exit
注意:①、两边的算法要配置一致;
②、对等体的IP要配置为对端可达IP(公网)
③、预共享密钥要一致
转载于:https://blog.51cto.com/sorry/697384