思科路由器ipsecvpn高级配置

最新推荐文章于 2024-10-14 17:24:27 发布
最新推荐文章于 2024-10-14 17:24:27 发布
阅读量3.8k 收藏 30
点赞数 2
分类专栏: 网络工程 文章标签: 网络 服务器 运维
项目工程师余工
本文链接:https://blog.csdn.net/ydaxia110/article/details/123462848
版权

在这里插入图片描述
完成:
所有的分支和总部都可以ipsecvpn互防,且都能上公网访问服务器。 分支和分支也能ipsecvpn访问,走的是总部跳转。

总部路由配置:

bj-router#show running-config
Building configuration…

Current configuration : 1627 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname bj-router
!
!
!
!
!
!
!
!
ip cef
no ipv6 cef
!
!
!
!
crypto isakmp policy 1
encr aes 256
authentication pre-share
!
crypto isakmp key adminadmin address 120.1.1.2
crypto isakmp key adminadmin address 200.1.1.2
!
!
!
crypto ipsec transform-set beijing esp-aes 128 esp-sha-hmac
!
crypto map beijing-map 1 ipsec-isakmp
set peer 200.1.1.2
set transform-set beijing
match address 100
!
crypto map beijing-map 2 ipsec-isakmp
set peer 120.1.1.2
set transform-set beijing
match address 103
!
!
!
!
no ip domain-lookup
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/0
ip address 100.1.1.1 255.255.255.0
ip nat outside
duplex auto
speed auto
crypto map beijing-map
!
interface FastEthernet0/1
ip address 192.168.1.254 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface Vlan1
no ip address
shutdown
!
ip nat inside source list 101 interface FastEthernet0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 100.1.1.2
!
ip flow-export version 9
!
!
access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 100 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 101 deny ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 101 deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 101 permit ip any any
access-list 103 permit ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 103 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
!
!
end

广州分支路由:

gz-route#show running-config
Building configuration…

Current configuration : 1379 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname gz-route
!
!
!
!
!
!
!
!
ip cef
no ipv6 cef
!
!
!
!
crypto isakmp policy 1
encr aes 256
authentication pre-share
!
crypto isakmp key adminadmin address 100.1.1.1
!
!
!
crypto ipsec transform-set guanzhou esp-aes 128 esp-sha-hmac
crypto ipsec transform-set guangzhou esp-aes 128 esp-sha-hmac
!
crypto map guangzhou-map 1 ipsec-isakmp
set peer 100.1.1.1
set transform-set guangzhou
match address 100
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/0
ip address 120.1.1.2 255.255.255.0
ip nat outside
duplex auto
speed auto
crypto map guangzhou-map
!
interface FastEthernet0/1
ip address 10.1.1.254 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface Vlan1
no ip address
shutdown
!
ip nat inside source list 101 interface FastEthernet0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 120.1.1.1
!
ip flow-export version 9
!
!
access-list 100 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 101 deny ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 101 deny ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 permit ip any any
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
!
!
end

gz-route#

上海分支路由:

sh-router#show running-config
Building configuration…

Current configuration : 1341 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname sh-router
!
!
!
!
!
!
!
!
ip cef
no ipv6 cef
!
!
!
!
crypto isakmp policy 1
encr aes 256
authentication pre-share
!
crypto isakmp key adminadmin address 100.1.1.1
!
!
!
crypto ipsec transform-set shanghai esp-aes 128 esp-sha-hmac
!
crypto map shanghai-map 1 ipsec-isakmp
set peer 100.1.1.1
set transform-set shanghai
match address 100
!
!
!
!
no ip domain-lookup
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/0
ip address 172.16.1.254 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 200.1.1.2 255.255.255.0
ip nat outside
duplex auto
speed auto
crypto map shanghai-map
!
interface Vlan1
no ip address
shutdown
!
ip nat inside source list 101 interface FastEthernet0/1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 200.1.1.1
!
ip flow-export version 9
!
!
access-list 100 permit ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 101 deny ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 101 deny ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 permit ip any any
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
!
!
end

sh-router#

ISP路由配置:

isp#show running-config
Building configuration…

Current configuration : 753 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname isp
!
!
!
!
!
!
!
!
no ip cef
no ipv6 cef
!
!
!
!
!
!
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/0
ip address 100.1.1.2 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 200.1.1.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet1/0
ip address 120.1.1.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet1/1
ip address 150.1.1.254 255.255.255.0
duplex auto
speed auto
!
interface Vlan1
no ip address
shutdown
!
ip classless
!
ip flow-export version 9
!
!
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
!
!
end

isp#

查看协商:

show crypto isakmp sa (这个必须要有ping流量才能看到)
show crypto ipsec sa

查看两边加密算法等配置是否一样:

show crypto isakmp policy
show crypto ipsec than…

项目工程师余工
关注
专栏目录
思科OSPF和动态NAT结合组网
qq_44940837的博客
03-21 750
OSPF和动态NAT结合组网案例
多点mGRE over IPsecVPN 配置及NHRP的使用
earthtoearth的博客
07-05 1101
(一)多点mGRE的配置,将传统GRE隧道点对点类型的tunnel接口扩展为点到多点类型的mGRE隧道,并在tunnel接口实现NHRP(下一跳地址解析地址)的静态表项设置,设置静态路由后实现PC1与PC2和PC3的联通。(二)同样是mGRE设置,但通过NHRP(下一跳地址解析地址)的动态表项,实现PC1、PC2、PC3的联通。(二)将防火墙连接PC的接口g1/0/1全部设置于信任区域,连接路由器的接口设置于非信任区域(此处省略)2、NHRP(下一跳地址解析地址)的静态设置。1、使用p2mp网络类型。
Cisco路由器IPsec配置.doc
07-12
以下为路由器A的配置路由器B只需对相应配置作更改即可 1:配置IKE router(config)# crypto isakmp enable #启用IKE(默认是启动的) router(config)# crypto isakmp policy 100 #建立IKE策略,优先级为100 router(config-isakmp)# authentication pre-share #使用预共享的密码进行身份验证 router(config-isakmp)# encryption des #使用des加密方式 router(config-isakmp)# group 1 #指定密钥位数,group 2安全性更高,但更耗cpu router(config-isakmp)# hash md5 #指定hash算法为MD5(其他方式:sha,rsa) router(config-isakmp)# lifetime 86400 #指定SA有效期时间。默认86400秒,两端要一致 以上配置可通过show crypto isakmp policy显示。VPN两端路由器的上述配置要完全一样。 2:配
思科IPsec VPN 实验配置(动态地址接入)
2301_77161465的博客
01-17 4270
本篇文章是关于思科IPsec VPN里面的,但它的情况是有一端是动态地址接入,也就是PPPoE或者PPP接入,里面的配置的话,每行都会有注释,会更详细些,有问题可以评论区见啦
关于IPSec VPN 的详细配置与讲解
最新发布
weixin_74749868的博客
10-14 2544
IPSec(Internet Protocol Security)是一套用于互联网协议(IP)层的安全协议组合,旨在保护IP通信的安全性。它通过认证、加密和数据完整性验证来确保数据在传输过程中的机密性和完整性。IPSec可以在IPv4和IPv6网络中使用,广泛应用于虚拟专用网络VPN)和安全站点间通信。
思科IPsec VPN基本配置
weixin_68021856的博客
07-22 3619
R1(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac //配置转换集名字myset, IPSec的封装协议esp-3des esp-md5-hmac(默认隧道模式tuunel)R1(config-crypto-map)#set transform-set myset //关联转换集myset。在配置IPSec前首先要保证公网可达:在R1和R3上写一条默认路由。
思科IPSEC配置实验
川的博客
11-05 1810
使用思科路由器配置IPSec隧道实验,有完整的数据包发送过程解析,配置过程命令解析。
思科防火墙IPsec配置-主模式方式(基于9.9版本)
xiayu0912的专栏
02-06 2330
思科防火墙9.9版本,配置Ipsec主模式
Cisco PPPOE配置详解
weixin_33759269的博客
07-08 4833
PPPOE配置:vpdn enable//开启虚拟专用拨号网络(vpdn)vpdn-group 10//建立一个vpdn组10request-dialin//初始化一个***d!interface f4//配置路由器ADSL MODEM接口no ip addresspppoe enable//允许以太接口运行pppoepppoe-cli...
Cisco 2911 IPsec 对接 Cisco ASA 5510
qq_38743831的博客
11-25 765
Cisco 2911 IPsec 对接 Cisco ASA 5510拓扑图Cisco 2911 端配置IPSec 配置Cisco ASA 5510端配置IPSEC 配置 拓扑图 Cisco 2911 端配置 首先Cisco 2911 找个接口接入公网线路,配置公网IP interface GigabitEthernet0/1 ip address 122.193.12.98 255.255.255.252 duplex auto speed auto no cdp enable crypto map my
动态IPSEC隧道-点对多(神码设备---命令类思科
hun_hu的博客
06-16 1371
网络实验拓扑图:
Cisco路由器IPsec配置.pdf
09-30
Cisco路由器IPsec配置.pdf
思科IPSec配置
weixin_34067049的博客
06-14 3512
IPSec建立连接的过程一、对等体建立连接大体分为:1、流量触发:IPSec建立连接是首先是由对等体直接的数据流触发的。我们通过配置这些IPSec保护的数据流,可以明确哪些数据流会触发IPSec建立连接2、建立管理连接:IPSec使用ISAKMP/IKE阶段1来建立管理连接。管理连接不进行数据传输,只是数据传输前的准备工作。管理连接阶段需要明确对等体之间的哪种设备验证方式、加密算法、认证算法以及D...
思科Ipsec配置
weixin_34203832的博客
07-28 582
R1和R3通过ISP构建×××隧道,R1和R3的LAN之间的流量使用预共享密钥方式进行×××加密。第一步:确保R1与R3的网络联通(互相可以Ping通对方的广域网接口)R1:iproute0.0.0.00.0.0.012.1.1.2R3:iproute0.0.0.00.0.0.032.1.1.2第二步:×××阶段一策略配置R1:cryptoisakmpp...
思科防火墙IPsec配置-野蛮模式方式(基于9.9版本)
xiayu0912的专栏
02-21 1863
思科防火墙ASA配置野蛮模式建立IPse连接
Cisco路由器配置Ipsec
热门推荐
amsilence的博客
10-23 1万+
Cisco 路由器配置Ipsec,以及各阶段的SA内容解读
IPSec协议簇(含Cisco实验配置
CairBin的博客
04-20 1098
早期的网络并不像现在这样,使用者大部分都是科学家并且一般是组织内部成员进行通信,所以在设计之初并没有考虑其安全性。但对于现在的网络,保障通信安全是非常重要的,而IPSec协议簇可以保障网络层的安全性。**IPSec是一组基于网络层的应用密码学的安全通信协议簇。**它是VPN中常用的一种技术。设计目标:为IPv4和IPv6提供客户操作的、高质量的、基于密码学的安全保护。功能:工作在网络层,提供三个安全服务,并和提供有限通信流机密性保护。IP协议是唯一一个由所有高层协议共享的协议。
Cisco Packet Tracer实战 - IPSec VPN配置练习
weixin_44517249的博客
02-29 3524
IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务
思科动态接入IPSec VPN
2203_76138235的博客
07-31 1070
RA(config)#crypto isakmp key xyh#123 address 0.0.0.0 //配置预共享密钥为 xyh#123,对方的密钥也要是一致才能匹配成功,指定邻居,0.0.0.0 0.0.0.0是任意匹配。总部使用模糊匹配方式,可以接入任意的分支。RB(config-if)#ip address negotiated //获取默认路由(可选),在获取地址的时候才能获取,当地址获取完成之后,这条命令是不生效的。问题:对等体的地址动态获取,地址是不固定的;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

项目工程师余工

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值