路由器配置ipsec

ChenRi_

已于 2023-12-03 17:04:49 修改

阅读量367

点赞数 9

文章标签：智能路由器网络

于 2023-12-03 16:48:12 首次发布

本文链接：https://blog.csdn.net/weixin_54073223/article/details/134766827

版权

第一阶段
crypto isakmp key ccie123 23.1.1.3 255.255.255.255 \\配置预共享密钥
    
crypto isakmp policy 10 \\配置管理连接安全策略
 encryption 3des \\加密算法
hash sha  \\完整性算法
authentication pre-share  \\采用认证方式

第二阶段
crypto ipsec transform-set ipsec1  \\定义数据的转换集
 mode transport \\模式
 transform-type esp-3des esp-sha-hmac \\保护数据的安全协议

ip access-list extended ipsecacl \\定义触发VPN的流量
 permit ip 12.1.1.1 0.0.0.255 23.1.1.3 0.0.0.255

crypto map ipsec1 10 ipsec-isakmp  \\创建map关联阶段2的数据连接的安全协议
 set peer 23.1.1.3 \\定义VPN对等体
 set transform-set ipsec1 \\关联
 match address ipsecacl  \\调用定义的VPN流量	


配置路由器和防火墙的ipsec
路由器
interface Tunnel1  \\创建隧道接口
 ip address 10.10.10.1 255.255.255.0
 tunnel source 12.0.0.1
 tunnel destination 12.0.0.2


crypto isakmp key ccie123 12.0.0.2 255.255.255.255 \\配置预共享密钥

 
crypto isakmp policy 10 \\配置管理连接安全策略
 加密默认为des
算法默认为sha
组默认为1 
!
crypto ipsec transform-set bian  \\定义数据的转换集
加密方式为预共享
加密协议为esp
加密算法默认为des  和 sha 



ip access-list extended ipsecacl \\定义触发VPN的流量
 permit gre 12.0.0.1 255.255.255.0 12.0.0.2 255.255.255.0

!
crypto map map 10 ipsec-isakmp  \\创建map关联阶段2的数据连接的安全协议
 set peer 12.0.0.2
 set transform-set bian
 match address ipsecacl 
 !
interface GigaEthernet0/6
 crypto map map \\调用map

ip route 10.10.10.0 255.255.255.0 Tunnel1 \\写去往隧道的路由

同一设备多条隧道配置（多个目的，多个转换集，多个策略）
crypto isakmp key 123456 address 12.1.1.1       
crypto isakmp key 123456 address 23.1.1.3       
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
!
crypto ipsec transform-set 10 esp-3des esp-md5-hmac 
 mode tunnel
crypto ipsec transform-set 20 esp-3des esp-md5-hmac 
 mode tunnel
!
!
crypto map ipsec 10 ipsec-isakmp 
 set peer 12.1.1.1
 set transform-set 10 
 match address acl
!
crypto map ipsec1 10 ipsec-isakmp 
 set peer 23.1.1.3
 set transform-set 20 
 match address acl