欢迎光临break工作室
fen2(config-crypto-map)#set peer 101.1.1.1
fen2(config-crypto-map)#set tran
fen2(config-crypto-map)#set transform-set aaa
fen2(config-crypto-map)#mat
fen2(config-crypto-map)#match add
fen2(config-crypto-map)#match address 121
1,多点ipsec *** 的实现思想
(1)引入
一个物理接口只能同时
生效一个Crypto map ,
为了解决这个问题,
只能从序列号研究。
(2)序列号
序列号的范围是1-65535 数值越小
该的映射优先级越高,
当同时配置了两个序列号1和2 的map 映射
路由器会先用1 去匹配流量,
如果不匹配,就会依次去看后面
优先级更低的映射,
1,总公司配置
zong(config)#int e0/0
zong(config-if)#ip add 192.168.1.100 255.255.255.0 # 接口的ip地址
zong(config-if)#no sh
zong(config-if)#ex
zong(config)#int e0/1
zong(config-if)#ip add 100.1.1.1 255.255.255.0 #接口的IP地址
zong(config-if)#no sh
zong(config)#ip route 0.0.0.0 0.0.0.0 100.1.1.2 # 默认路由到ISP网络,实现和ISP通信!
管理链接(策略)
zong(config)#crypto isakmp policy 10 #开启管理链接对象号为10
zong(config-isakmp)#encryption aes #加密
zong(config-isakmp)#hash sha #采用hash 算法
zong(config-isakmp)#authentication pre-share # 认证
zong(config-isakmp)#group 2 #组号 组好越高越安全 最高为5
预共享密钥
zong(config)#crypto isakmp key 0 break1 address 101.1.1.1 #对等体 分公司1
zong(config)#crypto isakmp key 0 break2 address 102.1.1.1 #对等体分公司2
流量触发
zong(config)access-lis 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 #分1
zong(config)access-lis 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 # 分2
交换数据连接的传输集(两个分公司共用一个)
zong(config)#crypto ipsec transform-set aaa esp-aes esp-sha-hmac
zong(cfg-crypto-trans)#mode tunnel #传输模式为隧道模式
配置加密映射map(这里需要两个序列号map ,1为分公司1 ,2为分公司2 )
序列号一
zong(config)#crypto map bbb 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer # 正常信息
and a valid access list have been configured.
zong(config-crypto-map)#set peer 101.1.1.1 #对等体地址
zong(config-crypto-map)#set transform-set aaa ###数据连接
zong(config-crypto-map)#match address 100 ##流量触发
序列号2
zong(config)#crypto map bbb 2 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
zong(config-crypto-map)#set peer 102.1.1.1
zong(config-crypto-map)#set transform-set aaa
zong(config-crypto-map)#match address 101
应用到接口
zong(config)#int e0/1
zong(config-if)#crypto map bbb,
2,模拟ISP网络(只需要配置IP地址)
ISP(config-if)#int e0/2
ISP(config-if)#ip add 101.1.1.2 255.255.255.0
ISP(config-if)#no sh
ISP(config-if)#int e0/1
ISP(config-if)#ip add 102.1.1.2 255.255.255.0
ISP(config-if)#no sh
ISP(config)#int e0/0
ISP(config-if)#ip add 100.1.1.2 255.255.255.0
ISP(config-if)#no sh
3,分公司1配置
1接口IP地址
fen1(config)#int e0/0
fen1(config-if)#ip add 101.1.1.1 255.255.255.0
fen1(config-if)#no sh
fen1(config)#int e0/1
fen1(config-if)#ip add 192.168.2.100 255.255.255.0
fen1(config-if)#no sh
fen1(config)#ip route 0.0.0.0 0.0.0.0 101.1.1.2
2.管理链接(策略)
fen1(config)#crypto isakmp policy 10
fen1(config-isakmp)#encryption aes
fen1(config-isakmp)#hash sha
fen1(config-isakmp)#authentication pre-share
fen1(config-isakmp)#group 2
3,流量触发
fen #access-list 110 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 #总公司
fen #access-list 110 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 #分2公司
4,预共享密钥(这里需要两个)
fen1(config)#crypto isakmp key 0 break1 address 100.1.1.1 #共享的密钥必须和总公司相同,
fen1(config)#crypto isakmp key 0 break3 address 102.1.1.1 ####分2 公司共享的密钥 !!!!!!
5.ipsec 变换集(分2,和总公司共用)
fen1(config)#crypto ipsec transform-set aaa esp-aes esp-sha-hmac
6,map 加密映射
总公司map
fen1(config)#crypto map bbb 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
fen1(config-crypto-map)#set peer 100.1.1.1
fen1(config-crypto-map)#set transform-set aaa
fen1(config-crypto-map)#match address 110
分2公司map
fen1(config)#crypto map bbb 3 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
fen1(config-crypto-map)#set peer 102.1.1.1
fen1(config-crypto-map)#set transform-set aaa
fen1(config-crypto-map)#match address 111
7,map 应用到接口!
fen1(config)#int e0/0
fen1(config-if)#cry
fen1(config-if)#crypto map bbb
分2 公司配置
接口ip地址
fen2(config)#int e0/0
fen2(config-if)#ip add 102.1.1.1 255.255.255.0
fen2(config-if)#no sh
fen2(config-if)#int e0/1
fen2(config-if)#ip add 192.168.3.100 255.255.255.0
fen2(config-if)#no sh
fen2(config)#ip route 0.0.0.0 0.0.0.0 102.1.1.2
流量触发
fenconfig)#access-list 120 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255#总公司
fenconfig)#access-list 121 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 # 分1公司
管理连接(策略)
fen2(config)#crypto isakmp policy 10
fen2(config-isakmp)#encryption aes
fen2(config-isakmp)#hash sha
fen2(config-isakmp)#authentication pre-share
fen2(config-isakmp)#group 2
共享密钥
fen2(config)#crypto isakmp key 0 break2 address 100.1.1.1 #这里的密钥必须和从公司相同 !
fen2(config)#crypto isakmp key 0 break3 address 101.1.1.1 #密钥必须和分1公司相同!
配置ipsec 变换集
fen2(config)#crypto ipsec transform-set aaa esp-aes esp-sha-hmac
ffen2(cfg-crypto-trans)#mode tunnel
配置加密映射(map)
建立总公司(map)
fen2(config)#crypto map bbb 2 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
fen2(config-crypto-map)#set peer 100.1.1.1
fen2(config-crypto-map)#set transform-set aaa
fen2(config-crypto-map)#match address 120
fen2(config)#crypto map bbb 3 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
fen2(config-crypto-map)#set peer 101.1.1.1
fen2(config-crypto-map)#set transform-set aaa
fen2(config-crypto-map)#match address 121
应用到接口
fen2(config)#int e0/0
fen2(config-if)#crypto map bbb
分别打开虚拟机进行测试
如下
博客上传日期: 2014年8月4日
作者:——新
转载于:https://blog.51cto.com/breaklinux/1535643