IPsec、site-to-sito ××× 简单实验
实验要求:PC1和PC2经过安全通道可以正常通讯
R1配置:
crypto isakmp policy 1       \\ 创建转换集
 encr 3des       \\ 加密方式
 hash md5       \\ 散列算法
 authentication pre-share       \\ 认证方式
 group 2     \\ DH组
crypto isakmp key cisco address 10.1.1.2     \\创建对等体密钥
!
crypto ipsec transform-set TEST000 esp-3des esp-md5-hmac    \\创建转换集
!
crypto map SDM_CMAP_1 1 ipsec-isakmp      \\ 创建IPsec地图
 description Tunnel to10.1.1.2        \\ 描述内容
 set peer 10.1.1.2       \\ 指定对端地址
 set transform-set TEST000      \\ 调用转换集
 match address 100     \\调用ACL
!
interface FastEthernet0/0
ip nat outside     \\关联PAT
 ip address 10.1.1.1 255.255.255.0
 duplex auto
 speed auto
 crypto map SDM_CMAP_1        \\调用IPsec地图
!
interface FastEthernet1/0
ip nat inside     关联PAT
 ip address 192.168.10.1 255.255.255.0
 duplex auto
 speed auto
!
ip route 0.0.0.0 0.0.0.0 10.1.1.2        \\默认路由
!
access-list 100 permit ip 192.168.10.0 0.0.0.255 172.16.0.0 0.0.255.255   \\创建ACL
ip nat inside source list 102 interface FastEthernet0/0 overload      \\创建PAT(可选)

 

R2配置:
crypto isakmp policy 1      \\ 创建转换集
 encr 3des      \\ 加密方式
 hash md5       \\ 散列算法
 authentication pre-share    \\ 认证方式
 group 2      \\ DH组
crypto isakmp key cisco address 10.1.1.1   \\创建对等体密钥
!
crypto ipsec transform-set TEST000 esp-3des esp-md5-hmac  \\创建转换集
!
crypto map SDM_CMAP_1 1 ipsec-isakmp     \\ 创建IPsec地图
 description Tunnel to10.1.1.1      \\ 描述内容
 set peer 10.1.1.1    \\ 指定对端地址
 set transform-set TEST000     \\ 调用转换集
 match address 100      \\调用ACL
!
interface FastEthernet0/0
 ip address 10.1.1.2 255.255.255.0
 duplex auto
 speed auto
 crypto map SDM_CMAP_1     \\调用IPsec地图
!
interface FastEthernet1/0
 ip address 172.16.0.1 255.255.0.0
 duplex auto
 speed auto
!
ip route 0.0.0.0 0.0.0.0 10.1.1.1     \\默认路由
!
access-list 100 permit ip 172.16.0.0 0.0.255 192.168.10.0 0.0.0.255       \\创建ACL