举列:一公司和其分公司需要经常的数据交换,为了达到数据传输的安全性,保密性,采取了站点之间的VPN搭建,其技术是基于IPSEC的VPN 虽然在现实生活中用的并不多。
比如 总公司的出口路由是R1 ip=192.168.1.1 分公司的出口路由是R2 ip=192.168.1.2
2个路由上均配置了默认路由
- R1# ip route 0.0.0.0 0.0.0.0 192.168.1.1 R2# ip route 0.0.0.0 0.0.0.0 192.168.1.2
以上步骤完成后,两个公司之间就可以正常通信了
下面开始VPN的配置 2个路由均为CISCO 3640系列
第一步 配置IKE协商
- R1(config)#crypto isakmp policy 1 建立IKE协商策略
- R1(config-isakmap)# hash md5 设置密钥验证所用的算法
- R1(config-isakmap)# authentication pre-share 设置路由要使用的预先共享的密钥
- R1(config)# crypto isakmp key 123 address 192.168.1.2 设置共享密钥和对端地址 123是密钥
- R2(config)#crypto isakmp policy 1
- R2(config-isakmap)# hash md5
- R2(config-isakmap)# authentication pre-share
- R2(config)# crypto isakmp key 123 address 192.168.1.1
第二步 配置IPSEC相关参数
- R1(config)# crypto ipsec transform-set cfanhome ah-md5-hmac esp-des 配置传输模式以及验证的算法和加密的的算法 cfanhome这里是给这个传输模式取个名字
- R1(config)# access-list 101 permit ip any any 我这里简单的写 但是大家做的时候可不能这样写
- 这里是定义访问控制列表
- R2(config)# crypto ipsec transform-set cfanhome ah-md5-hmac esp-des 两边的传输模式的名字要一样
- R2(config)# access-list 101 permit ip any any
第三步 应用配置到端口 假设2个端口都是s0/0
- R1(config)# crypto map cfanhomemap 1 ipsec-isakmp 采用IKE协商,优先级为1 这里的cfanhomemap是一个表的名字
- R1(config-crypto-map)# set peer 192.168.1.2 指定VPN链路对端的IP地址
- R1(config-crypto-map)# set transform-set cfanhome 指定先前所定义的传输模式
- R1(config-crypto-map)# match address 101 指定使用的反问控制列表 这里的MATCH是匹配的意思
- R1(config)# int s0/0
- R1(config-if)# crypto map cfanhomemap 应用此表到端口
R2和R1在最后的配置基本一样 这里就不一一写出来了
