声明:本文是参考网上各家对IPSec ×××配置的一个总结。
1、配置端口IP;
2、配置路由;
以上两步是实现网络通讯的畅通。
3、 总部IPSec ×××配置
3.1、定义总部到分支机构访问策略(即允许总部那一段IP(即×××地址段)访问分支机构那一段IP)。
access-list 100 remark IPSec Rule
access-list 100 permit ip 10.1.0.0 0.0.0.255 10.1.1.0 0.0.0.255
3.2、定义IPSec ××× 第一阶段
3.2.1 定义加密类型
crypto isakmp policy 1 (定义策略号)
encr 3des(定义加密算法)
authentication pre-share(采用共享密钥分式)
group 2(定义组号)
3.2.2 定义共享密钥及对端IP
crypto isakmp key 12345678 address 0.0.0.0 0.0.0.0(IP地址及掩码,如果对端IPi固定就用全0表示)
3.3 定义IPSec ×××第二阶段
crypto ipsec transform-set ESP-3DES-SHA (定义交换集名称) esp-3des esp-sha-hmac (第二阶段算法)
3.4 创建加密图(由于各分支的×××网关路由器的外口IP为动态IP,所以定义加密图为动态加密图)
crypto dynamic-map SDM_DYNMAP_1 1( 动态加密图名称)
set transform-set ESP-3DES-SHA (设置那个交换集)
match address 100 //匹配访问控制列表100的流量进行加密
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1  (把动态加密图应用到静态加密图 SDM_CMAP_1)
3.5 应用加密图到接口
crypto map SDM_CMAP_1
4 分支机构的IPSec ×××配置:
4.1 按照3.1-3.3,3.5进行配置。
4.2 创建加密图(由于总部×××网关路由器外口IP为静态IP所以加密图为静态,并指定总部ip:10.150.2.94)
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel to10.150.2.94
set peer 10.150.2.94
set transform-set ESP-3DES-SHA
match address 100 //匹配访问控制列表100的流量进行加密