配置LAN-to-LAN ×××
(
1
)在
R1
上配置
IKE
(
ISAKMP
)策略
:
r1(config)#crypto isakmp policy 1
r1(config-isakmp)#encryption 3des
r1(config-isakmp)#hash sha
r1(config-isakmp)#authentication pre-share
r1(config-isakmp)#group 2
r1(config-isakmp)#exit
说明:
定义了
ISAKMP policy 1
,加密方式为
3des
,
hash
算法为
sha
,认证方式为
Pre-Shared Keys (PSK)
,密钥算法(
Diffie-Hellman
)为
group 2
。
(
2
)在
R1
上定义认证标识
:
r1(config)#crypto isakmp key 0 cisco123 address 23.1.1.3
说明:
因为之前定义的认证方式为
Pre-Shared Keys (PSK)
,所以需要定义认证密码,这里定义与
peer 23.1.1.3
的认证密码为
cisco123
,并且双方密码必须一致,否则无法建立
IKE SA
,其中
0
表示密码在
running-config
中显示为明文。
(
3
)在
R1
上配置
IPsec transform:
r1(config)#crypto ipsec transform-set ccie esp-3des esp-sha-hmac
r1(cfg-crypto-trans)#exit
说明:
配置了
transform-set
为
ccie
,其中数据封装使用
esp
加
3des
加密,并且使用
esp
结合
sha
做
hash
计算,默认的
IPsec mode
为
tunnel
。
(
4
)在
R1
上定义感兴趣流量
:
r1(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255
说明:
这里需要被
IPsec
保护传输的流量为上海公司至北京公司的流量,即
10.1.1
.0/24
发往
192.168.1.0/24
的流量,切记不可使用
any
来表示地址。
(
5
)在
R1
上创建
crypto map:
r1(config)#crypto map l2l 1 ipsec-isakmp
r1(config-crypto-map)#set peer 23.1.1.3
r1(config-crypto-map)#set transform-set ccie
r1(config-crypto-map)#match address 100
r1(config-crypto-map)#exit
说明:
在
R1
上配置
crypto map
为
l2l
,序号为
1
,即第
1
组策略,其中指定加密数据发往的对端为
23.1.1
.3
,即和
23.1.1.3
建立
IPsec
隧道,调用的
IPsec transform
为
ccie
,并且指定
ACL 100
中的流量为被保护的流量。
(
6
)在
R1
上将
crypto map
应用于接口
:
r1(config)#int f0/0
r1(config-if)#crypto map l2l
r1(config-if)#exit
转载于:https://blog.51cto.com/justsoso/432918