IPSec ×××--->site-to-site ×××的配置

 IPSec  ×××--->site-to-site  ×××的配置：

site-to-site×××不支持1.5阶段

  R2(config)#  crypto  isakmp  policy  1  -------->创建isakmp策略集1,1是策略集的编号，编号自定义(只具备本地意义)，默认首

                                                                               先发送编号最小的和对方协商

定义对等体认证的方式，加密的算法（共享密钥），赫尔曼算法的版本，哈希算法的方式及生命周期：

R2(config-isakmp)# encryption 3des ----------------->定义对共享密钥的加密方式

R2(config-isakmp)#  authentication  pre-share----------------->对等体认证方式采用共享密钥

R2(config-isakmp)#   hash  sha ----------------->完整性校验和采用sha

R2(config-isakmp)#   group  5 ----------------->定义赫尔曼算法的版本，采用版本5

R2(config-isakmp)#   lifetime  12800----------------->定义生命周期（默认为86400秒）

R2(config)# crypto isakmp key 0 cisco address 100.1.1.6------->定义对等体100.1.1.6采用cisco共享密钥验证，0表示密码明文显

                                                                                                                  示，6表示密码密文显示

 

 R2(config)# crypto ipsec transform-set T  esp-3des-------------->创建ipsec交换集-----定义对数据加密的算法和数据完整性校验的

                                                                                                               算法-------定义数据封装的模式（默认为隧道模式）

静态：

R2(config)# crypto  map  L2LMAP  1  ipsec-isakmp---------->  创建加密映射L2LMAP，L2LMAP为自定义的映射名字，将在接口中

                                                                                                          调用，编号 1用来区分不同的第二阶段的对等体

R2(config-crypto-map)#  set  peer  100.1.1.6----------> 设置第二阶段对等体地址

R2(config-crypto-map)#  set  transform-set  T----------> 调用第二阶段交换集

R2(config-crypto-map)#  match  address  L2LACL ----------> 定义×××建立的触发流量，L2LACL将被创建---私有访问私有地址

R2(config)#   ip  access-list  extended  L2LACL

R2(config-ext-acl)#   permit  ip  192.168.1.0  0.0.0.255  192.168.5.0 0.0.0.255

R2(config)#   int  e0/1----------> e0/1是连接互联网的接口

R2(config-if)#   crypto  map  L2LMAP  ----------> 将加密映射应用到接口-------连接的互联网的接口，即outside

 

 

 

基于ADSL的×××:-----动态

  R2(config)#  crypto  isakmp  policy  1  -------->创建isakmp策略集1,1是策略集的编号，编号自定义，默认首先发送编号最小的

                                                                                  和对方协商

定义对等体认证的方式，加密的算法（共享密钥），赫尔曼算法的版本，哈希算法的方式及生命周期：

R2(config-isakmp)# encryption 3des ----------------->定义对共享密钥的加密方式

R2(config-isakmp)#  authentication  pre-share----------------->对等体认证方式采用共享密钥

R2(config-isakmp)#   hash  sha ----------------->完整性校验和采用sha

R2(config-isakmp)#   group  5 ----------------->定义赫尔曼算法的版本，采用版本5

R2(config-isakmp)#   lifetime  12800----------------->定义生命周期（默认为86400秒）

R2(config)# crypto isakmp key 0 cisco address 0.0.0.0(不知道对方的地址)------->定义对等体100.1.1.6采用cisco共享密钥验

                                                                                                                             证，0表示密码明文显示，6表示密码密文显示

R2(config)# crypto   dynamic-map  DYMAP  1----------> 创建动态映射DYMAP，在动态map中调用触发流量交换集，由于对

                                                                                                        等体是动态的，不需要set  peer，对等体地址自动发现

R2(config-crypto-map)#  set  transform-set  T

R2(config-crypto-map)#  match  address  DYACL

R2(config)#   ip  access-list  exteded  DYACL

R2(config-ext-acl)#   permit  ip  192.168.1.0 0.0.0.255  192.168.7.0 0.0.0.255

R2(config)#  crypto  map  L2LMAP  2  ipsec-isckmp  dynamic  DYMAP  (discover)----------> 将静态映射和动态映射关联，其中

                                                                                                                                                           discover参数是默认的，可以加可以不加

 

 

 

×××调试命令：

  show  crypto  isakmp  policy ----->查看第一阶段的策略集

  show  crypto  isakmp    sa ------ >查看第一阶段安全关联

  show  crypto  ipsec sa------ >  查看第二阶段的安全关联

  show  crypto  isakmp   key ------ >查看第一阶段的共享密钥

  show  crypto  ipsec   transform-set ------ >  查看第二阶段的交换集

  show  crypto  map------ > 查看加密映射

  clear   crypto isakmp    ------ >清除第一阶段安全关联

  clear crypto  sa    ------ >清除第二阶段安全关联

  debug  crypto  isakmp  ( ?)

  debug  crypto  ipsec  ( ?)

 

转载于:https://blog.51cto.com/zjjaqiu/910420