IPsec ×××配置步骤

配置LAN-to-LAN ×××

（ 1 ）在 R1 上配置 IKE （ ISAKMP ）策略 :

r1(config)#crypto isakmp policy 1

r1(config-isakmp)#encryption 3des

r1(config-isakmp)#hash sha

r1(config-isakmp)#authentication pre-share

r1(config-isakmp)#group 2

r1(config-isakmp)#exit

说明： 定义了 ISAKMP policy 1 ，加密方式为 3des ， hash 算法为 sha ，认证方式为 Pre-Shared Keys (PSK) ，密钥算法（ Diffie-Hellman ）为 group 2 。

 

（ 2 ）在 R1 上定义认证标识 :

r1(config)#crypto isakmp key 0 cisco123 address 23.1.1.3

说明： 因为之前定义的认证方式为 Pre-Shared Keys (PSK) ，所以需要定义认证密码，这里定义与 peer 23.1.1.3 的认证密码为 cisco123 ，并且双方密码必须一致，否则无法建立 IKE SA ，其中 0 表示密码在 running-config 中显示为明文。

 

（ 3 ）在 R1 上配置 IPsec transform:

r1(config)#crypto ipsec transform-set ccie esp-3des esp-sha-hmac

r1(cfg-crypto-trans)#exit

说明： 配置了 transform-set 为 ccie ，其中数据封装使用 esp 加 3des 加密，并且使用 esp 结合 sha 做 hash 计算，默认的 IPsec mode 为 tunnel 。

 

（ 4 ）在 R1 上定义感兴趣流量 :

r1(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255

说明： 这里需要被 IPsec 保护传输的流量为上海公司至北京公司的流量，即 10.1.1 .0/24 发往 192.168.1.0/24 的流量，切记不可使用 any 来表示地址。

 

（ 5 ）在 R1 上创建 crypto map:

r1(config)#crypto map l2l 1 ipsec-isakmp

r1(config-crypto-map)#set peer 23.1.1.3

r1(config-crypto-map)#set transform-set ccie

r1(config-crypto-map)#match address 100

r1(config-crypto-map)#exit

说明： 在 R1 上配置 crypto map 为 l2l ，序号为 1 ，即第 1 组策略，其中指定加密数据发往的对端为 23.1.1 .3 ，即和 23.1.1.3 建立 IPsec 隧道，调用的 IPsec transform 为 ccie ，并且指定 ACL 100 中的流量为被保护的流量。

 

（ 6 ）在 R1 上将 crypto map 应用于接口 :

r1(config)#int f0/0

r1(config-if)#crypto map l2l

r1(config-if)#exit

转载于:https://blog.51cto.com/justsoso/432918