思科路由器与windows建立L2L ipsec***

1.拓扑：

2.基本配置：
A.R1：
interface FastEthernet0/0
 ip address 202.100.1.1 255.255.255.0
 no shut
interface Loopback0
 ip address 10.1.1.1 255.255.255.0
ip route 0.0.0.0 0.0.0.0 202.100.1.2
B.R2：
interface FastEthernet0/0
 ip address 202.100.1.2 255.255.255.0
 no shut
interface FastEthernet0/1
 ip address 202.100.2.2 255.255.255.0
 no shut
C.R3:
interface FastEthernet0/0
 ip address 20.1.1.3 255.255.255.0
 no shut
ip route 0.0.0.0 0.0.0.0 20.1.1.8
D.Windows2003：
eth0:
  IP:202.100.2.8/24
  GW:202.100.2.2
eth1:
  IP:20.1.1.8/24
启动路由和转发服务。

3.***配置：
A.Windows2003:
①创建感兴趣流（双向）：
-----在windows中为创建IP筛选器
IP筛选器10-to-20：选择源ip为10.1.1.0/24，目的IP为20.1.1.0/24，协议任意
IP筛选器20-to-10：选择源ip为20.1.1.0/24，目的IP为10.1.1.0/24，协议任意
注意添加时取消向导，取消镜像。
②第一阶段策略：
-----在windows的IP安全策略中为身份验证方法，第一阶段可供配置的东西很少。
②第二阶段策略：
-----在windows的IP安全策略中为筛选器操作：
③.配置crypto map：
----在windows的IP安全策略中为双向数据流的筛选器配置隧道终点，连接类型为所有网络连接。
④.应用crypto map：
----在windows的IP安全策略中为指派IP安全策略。
B.R1：
①.配置感兴趣流：
ip access-list extended ***
 permit ip 10.1.1.0 0.0.0.255 20.1.1.0 0.0.0.255
②.第一阶段：
crypto isakmp policy 10
 hash md5
 authentication pre-share
 group 1
 lifetime 3600
crypto isakmp key cisco address 202.100.2.8
②.第二阶段：
crypto ipsec transform-set transet ah-md5-hmac esp-des esp-md5-hmac
③.配置crypto map：
crypto map crymap 10 ipsec-isakmp
 set peer 202.100.2.8
 set transform-set transet
 match address ***
④.应用crypto map：
interface FastEthernet0/0
 crypto map crymap
4.测试：
R1#ping 20.1.1.3 source l0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 20.1.1.3, timeout is 2 seconds:
Packet sent with a source address of 10.1.1.1
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 84/98/112 ms
R1#
下面为抓包的截图：