路由器上ipsec ***
如图所示:
站点1 和站点 2 两边都是内部网络,在没有作ipsec *** 以前两端的pc机 是没有办法直接通讯的,他们只能经过在路由器上使用NAT 装换以后访问外部资源,在使用ipsec 以后两端内网就能够彻底透明的互相访问,可是不会使用NAT装换(在路由器上,ASA上能够使用NAT豁免)。
在实现ipsec *** 以前,须要外部网络连同,如图即在r1上能够ping 通r3 而且两台pc 都须要有网关
R1上:
保证和r3连同:
ip route 0.0.0.0 0.0.0.0 10.0.0.2
IKE阶段1:
R1(config)# crypto isakmp policy 10
(控制链接策略)
R1(config-isakmp)# encr aes
(用于身份验证的数据包采用的加密算法: aes)
R1(config-isakmp)#hash sha 使用sha (加密管理链接)
R1(config-isakmp)# authentication pre-share (采用密钥共享)
crypto isakmp key 6 123.com address 20.0.0.2 定义密码123.com 对端地址为20.0.0.2
IKE阶段2:
R1(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 172.16.2.0 0.0.0.255
定义acl 用于过滤出须要通过ipsec 隧道的数据
R1(config)# crypto ipsec transform-set aa esp-aes esp-sha-hmac
定义传输集 定义数据链接的加密esp-aes和认证esp-sha-hmac 方式
R1(config)# crypto map aaa 1 ipsec-isakmp (定义加密图)
R1(config-crypto-map)# set peer 20.0.0.2
(指定隧道对端ip地址)
R1(config-crypto-map)# set transform-set aa (指定数据使用的传输集)
R1(config-crypto-map)# match address 101 (匹配acl)
R3上的配置和R1上的相对应:
保证和r1连同:
ip route 0.0.0.0 0.0.0.0 20.0.0.1
IKE阶段1:
R1(config)# crypto isakmp policy 10
(控制链接策略)
R1(config-isakmp)# encr aes
(用于身份验证的数据包采用的加密算法: aes)
R1(config-isakmp)#hash sha 使用sha (加密管理链接)
R1(config-isakmp)# authentication pre-share (采用密钥共享)
crypto isakmp key 6 123.com address 10.0.0.1 定义密码123.com 对端地址为10.0.0.1
IKE阶段2:
R1(config)# access-list 101 permit ip 172.16.2.0 0.0.0.255 192.168.1.0 0.0.0.255
定义acl 用于过滤出须要通过ipsec 隧道的数据
R1(config)# crypto ipsec transform-set aa esp-aes esp-sha-hmac
定义传输集 定义数据链接的加密esp-aes和认证esp-sha-hmac 方式
R1(config)# crypto map aaa 1 ipsec-isakmp (定义加密图)
R1(config-crypto-map)# set peer 10.0.0.1
(指定隧道对端ip地址)
R1(config-crypto-map)# set transform-set aa (指定数据使用的传输集)
R1(config-crypto-map)# match address 101 (匹配acl)
验证
在pc1 ip地址为192.168.1.2 上ping pc 2 ip地址为172.16.2.2
同时在R1上能够看见创建了链接隧道:
