IPSec VPN经典配置

IPSec VPN配置命令

底层用静态路由连通

R2(config)#ip route 1.1.1.0 255.255.255.0 10.1.1.10

R2(config)#ip route 2.2.2.0 255.255.255.0 202.100.1.10 //这条路由在现实环境中由默认路由代替,由于1111到2222的数据包被加密,Internet上不会出现去往2222的明文数据包。

R2(config)#ip route 61.128.1.0 255.255.255.0 202.100.1.10

R1(config)#ip route 2.2.2.0 255.255.255.0 10.1.1.1

R4(config)#ip route 1.1.1.0 255.255.255.0 61.128.1.10

R4(config)#ip route 202.100.1.0 255.255.255.0 61.128.1.10

IPSec VPN加密过程

1.明文数据包1111到2222从Site1的内部接口进入路由器

2.查询路由表,按静态路由出去

3.铭文数据包尝试在F0/1接口出去,遇到crypto map匹配的感兴趣流

4.所匹配的感兴趣流会触发加密行为,产生新的数据包

5.加密产生的新数据包目的61.128.1.1,查路由表

IKE第一阶段

R2(config)#crypto isakmp enable   //激活ISAKMP,模拟器默认关闭,真机开启

R2(config)#crypto isakmp policy 10  //这个数字本地有效

R2(config-isakmp)#authentication pre-share  //认证方式为预共享密钥,默认为数字签名认证

R2(config-isakmp)#encryption 3des   //IKE数据包加密算法使用3DES,默认为DES

R2(config-isakmp)#hash md5     //IKE数据包完整性校验的散列算法使用MD5,默认SHA-1

R2(config-isakmp)#group 2       //DH交换使用使用Group2,默认Group1

R2(config)#crypto isakmp key 0 L2Lkey address 61.128.1.1 //预共享密钥认证的共享秘密为L2Lkey,且仅用于此认证

IKE第二阶段

配置Site1转换策略

Site1(config)#ip access-list extended vpn   //设置感兴趣流

Site1(config-ext-nacl)#permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255  //满足此兴趣流的被加密

Site1(config)#cry ipsec transform-set Trans esp-des esp-md5-hmac  //转换具体数据的策略,名字Trans,封装ESP,加密DES,完整性校验MD5

Site1(config)#crypto map cry-map 10 ipsec-isakmp    //用ID10标记VPN 一个map可以匹配多个ID,一个接口关联一个map

% NOTE: This new crypto map will remain disabled until a peer

and a valid access list have been configured.   //日志消息提示要关联ACL才能生效

Site1(config-crypto-map)#match address vpn      //匹配感兴趣流

Site1(config-crypto-map)#set transform-set Trans  //具体转换策略

Site1(config-crypto-map)#set peer 61.128.1.1     //指明对端接口地址

Site1(config-crypto-map)#set pfs group2        //启用pfs

Site1(config-crypto-map)#set security-association lifetime seconds 1800   //设置IPSec SA生存周期

Site1(config)#interface f0/1

Site1(config-if)#crypto map cry-map     //将crypto map应用到接口

*Sep  4 16:29:16.375: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON //日志消息ISAKMP开启了

配置Site2

Internet(config)#crypto isakmp policy 10

Internet(config-isakmp)#encryption 3des

Internet(config-isakmp)#authentication pre-share

Internet(config-isakmp)#hash md5

Internet(config-isakmp)#group 2

Internet(config)#crypto isakmp key 0 L2Lkey address 202.100.1.1

Internet(config)#ip access-list extended vpn

Internet(config-ext-nacl)#permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

Internet(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac

Internet(config)#cry map cisco 10 ipsec-isakmp

Internet(config-crypto-map)#match add vpn

Internet(config-crypto-map)#set transform-set cisco

Internet(config-crypto-map)#set peer 202.128.1.1

Internet(config)#int f0/0

Internet(config-if)#crypto map cisco

时间: 09-02

IPSec VPN经典配置的相关文章

IPSEC VPN 的配置实例

詹柱美 一.实验拓扑: 二.实验要求: 保证两个站点的路由没问题. 在站点A与站点B间配置VPN,保障企业的网络通过互联网连接起来. 三.实验的配置: R1的全部配置: r1#show running-config Building configuration... Current configuration : 597 bytes ! version 12.4 no service timestamps log datetime msec no service timestamps debug

Cisco 3640系列IPsec VPN简单配置

Cisco 3640系列IPsec VPN简单配置 实验拓扑图: 实验步骤: 第一步:配置路由 第二步:匹配的数据包流量(ACL,注意两端要对称) 第三步:IKE的第一阶段(称为 ISAKMP SA) 第四步:IKE的第二阶段(称为IPSEC SA) 第五步:MAP(第二.三.四步的结合) 第六步:应用配置到外网口 模拟Internet步骤如下: 1.路由配置 R1: Router>en Router#conft Enterconfiguration commands, one per line

ASA 5520(IOS version 8.4) IKEv2 IPSEC VPN实验配置

1.实验TOP图如下: 2.实验目的: 使用IKEv2实现点到点的IPSECVPN通信,即本示例中192.168.1.100和172.16.1.100之间实现VPN通信. 3.具体配置如下: ASA1配置 interfaceGigabitEthernet0 nameif outside security-level 0 ip address 11.1.1.2 255.255.255.0 ! interfaceGigabitEthernet1 nameif inside security-leve

ip-sec VPN 基本配置实验

准备步骤: 1.给各路由器配置IP地址 2.R1 R3设置一条默认路由,R2只配IP地址,不做任何路由设置. R1: R1(config)#crypto isakmp enable     //开启ike阶段SA协商 R1(config)#crypto isakmp policy 10     //创建ike策略,10为序号,越小越优先. R1(config-isakmp)#authentication pre-share    //开启pre-share作为认证方式 R1(config-isa

Ipsec VPN 配置实验

网络拓扑: R0配置: ISP>en ISP#sh run Building configuration... Current configuration : 707 bytes ! version 15.1 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname ISP ! ! ! ! ! ! ! ! i

IPSEC VPN

目录: 简介:... 2 分类:... 2 1.在路由上实现的VPN可分为:... 2 2.在ASA防火墙上实现的VPN:2 IPSec VPN:3 IPSec能实现的功能有:... 3 IPSec的特性(IPSec之所以安全是由它的特性决定的):... 3 IPSec的实施包含两个阶段... 4 IPSec协商过程:... 4 IPSec 范畴的VPN中各种形式的大体配置步骤:... 6 IPSEC VPN几种配置实例... 6 一.实验拓扑... 7 二.实验目的... 7 三.实验要求..

IPSEC VPN 基础原理

作为一个努力在IT一线奋斗的人,励志做到以下几点: 搬的了机器,玩的了系统,精通了协议,敲得了代码. --谨以此让自己不断努力! --------------------------------------------- 一.IPSEC框架: IPSEC封装: IP头部   传输层头部(TCP,UDP...) 应用层头部(HTTP,FTP,HTTPS) 应用层数据 IP头部   IPSEC头部  传输层头部(TCP,UDP...) 应用层头部(HTTP,FTP,HTTPS) 应用层数据 由上可以

使用TMG 2010建立IPSec VPN

1.概述 1.1. 前言 在跨地域的网络环境之间,建立无需拨号连接的VPN连接.在没有点对点专线.硬件VPN设备等条件下,是否可以使用软件来实现? 本文将详解如何使用Forefront TMG 2010建立Site-to-Site IPsec VPN. 1.2. 网络拓扑 拓扑说明 A站: ? 局域网内有1个子网10.2.4.0/24 ? 双Internet出口,网络访问默认出口为路由器,与站点B的通信则经过TMG ? 使用TMG作为Site-to-Site VPN设备,TMG工作模式为边缘防火

Cisco路由器配置 IPsec VPN

拓扑图 实验目的: 实现R1网段:172.16.10.0/24与R2网段172.17.10.0/24通信加密. 配置思路: 路由 通过ACL设置感兴趣流 配置IKE第一阶段 配置IKE第二阶段 新建MAP,并应用于接口 配置: R1: 配置默认路由和接口IP信息 interface Loopback0  ip address 172.16.10.1 255.255.255.0  no shu exit interface FastEthernet0/0  ip address 200.1.1.1