Cisco 3640系列IPsec ×××简单配置

实验拓扑图:

wKioL1fk3n6wYrwmAABu5AxbdKM143.png-wh_50

实验步骤:

第一步:配置路由

第二步:匹配的数据包流量(ACL,注意两端要对称)

第三步:IKE的第一阶段(称为 ISAKMP SA

第四步:IKE的第二阶段(称为IPSEC SA

第五步:MAP(第二、三、四步的结合)

第六步:应用配置到外网口

模拟Internet步骤如下:

1、路由配置

R1

Router>en

Router#conft

Enterconfiguration commands, one per line. End with CNTL/Z.

Router(config)#noip domain lookup

Router(config)#lincon 0

Router(config-line)#loggsy

Router(config-line)#exec-time0 0

Router(config-line)#exit

Router(config)#hostnameR1

R1(config)#inters0/0

R1(config-if)#ipadd 12.1.1.1 255.255.255.0

R1(config)#interfaceloopback 0              //模拟企业内部网络

R1(config-if)#ipadd 192.168.10.1 255.255.255.0

R1(config-if)#noshutdown

R1(config)#iproute 0.0.0.0 0.0.0.0 12.1.1.2

 

R2:

Router>en

Router#conft

Enterconfiguration commands, one per line. End with CNTL/Z.

Router(config)#noip domain lookup

Router(config)#lincon 0

Router(config-line)#loggsy

Router(config-line)#exec-time0 0

Router(config-line)#exit

Router(config)#hostnameR2

R2(config)#inters0/0

R2(config-if)#ipadd 12.1.1.2 255.255.255.0

R2(config-if)#noshutdown

R2(config)#interface  s0/1

R2(config-if)#ipadd 23.1.1.1 255.255.255.0

R2(config-if)#noshutdown

 

R3:

Router>en

Router#conft

Enterconfiguration commands, one per line. End with CNTL/Z.

Router(config)#noip domain lookup

Router(config)#lincon 0

Router(config-line)#loggsy

Router(config-line)#exec-time0 0

Router(config-line)#exit

Router(config)#hostnameR3

R3(config)#inters0/1

R3(config-if)#ipadd 23.1.1.2 255.255.255.0

R3(config-if)#noshutdown

R3(config)#interloopback 0                 //模拟企业内部网络

R3(config-if)#ipadd 192.168.20.1 255.255.255.0     

R3(config)#iproute 0.0.0.0 0.0.0.0 23.1.1.1

Internet上面部署IPsec ×××

R1

2、匹配的数据包流量(ACL,注意两端要对称)

R1(config)#access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

 

3IKE的第一阶段(称为 ISAKMP SA

R1(config)#cryptoisakmp policy 10                 //运行ISAKMP这个协议,policy

序号一般以10为单位。

R1(config-isakmp)#group2                      //定义Diffie-Hellman group

R1(config-isakmp)#authenticationpre-share          //定义预共享密钥

R1(config-isakmp)#hashmd5                       //定义哈希使用的算法

R1(config-isakmp)#encryptiondes                   //定义加密算法

R1(config)#crypto isakmp key ipsec***address 23.1.1.2     //定义共享密钥ipsec***和对端地址 23.1.1.2 

查看第一阶段配置信息

R1#showcrypto isakmp policy

4IKE的第二阶段(称为IPSEC SA

R1(config)#cryptoipsec transform-set SET esp-md5-hmac esp-des

R1(cfg-crypto-trans)#modetunnel

5MAP(第二、三、四步的结合)

R1(config)#cryptomap ××× 10 ipsec-isakmp

R1(config-crypto-map)#setpeer 23.1.1.2

R1(config-crypto-map)#matchaddress 100

R1(config-crypto-map)#settransform-set SET

6、应用配置到外网口

R1(config)#interfaces0/0

R1(config-if)#cryptomap ×××

R3:

R3配置R1在最后的配置基本一样   这里就不一一写出来了。