×××
配置步骤
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
1.
配置
IKE
协商
1.1
启动
IKE
Router(config)#crypto isakmp enable
1.2
建立
IKE
的协商策略
Router (config)#crypto isakmp policy 1
(取值范围
1~10000
,策略编号越低
优先级就越高)
<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />
1.2.1
设置对称加密方式
Router(config-isakmp)#authentication pre-share
1.2.2
设置密钥的加密方式
Router(config-isakmp)#encryption 3des
(
des | 3des
二选一
所有路由器配置要一置)
1.2.3
设置密钥的认证方式
Router(config-isakmp)#hash md5
(
md5 | sha1
二选一
所有路由器配置要一置)
1.3
设置密钥的值和对端的
IP
地址
Router(config)#crypto isakmp key benet address 20.20.20.20
(
benet
为共享密钥名字
20.20.20.20
为对端的
ip
地址)
2.
配置
IPsec
隧道
2.1
设置传输模式
Router(config)#crypto ipsec transform-set benetset ah-md5-hmac esp-des
(
IPsec
传输模式的名字为
benetset
后面跟
AH
验证参数和
ESP
加密参数)
2.2
设置
ACL
访问控制列表
Router(config)#access-list 101 permit ip 50.50.50.0 0.0.0.255 60.60.60.0 0.0.0.255
(访问控制列表取值范围
100~199
之间
源地址
反掩码
目的地址
反掩码)
3.
配置端口应用
3.1
创建
crypto map
Router(config)#crypto map
map-name 1
ipsec-isakmp
(
map-name
为
map
名字
1
为优先级取值范围
1~65535
值越小,优先级越高)
3.2
配置
crypto map
3.2.1
集成
ACL
Router(config-crypto-map)#match address access-list-number
(access-list-number
应该同前面的
Crypto map
访问控制列表的编号相同
)
3.2.2
对端
IP
Router(config-crypto-map)#set peer
对端
IP
3.2.3
传输模式
Router(config-crypto-map)#set transform-set benetset
(
IPsec
传输模式的名字为
benetset
)
4.
应用到端口
Router(config)#interface interface slot/port
(interface slot/port为连接对端外网的接口)
Router(config)#crypto map map-name
(map的名字)
转载于:https://blog.51cto.com/ywf860712/249073