配置ipsec vpn连接
一、实验拓扑图
二、IP地址规划表
设备 |
接口 |
IP地址 |
ISP |
F0/0 |
172.16.10.2/30 |
ISP |
F0/1 |
172.16.10.6/30 |
R1 |
F0/0 |
172.16.10.1/30 |
R1 |
F0/1 |
192.168.10.254/30 |
R2 |
F0/0 |
192.168.20.254/24 |
R2 |
F0/1 |
192.168.10.1/24 |
PC2 |
Fa0 |
192.168.10.1/24 |
PC3 |
Fa0 |
192.168.20.1/24 |
三、配置步骤
1、配置IP地址(pc机配置IP地址不演示)
R1
R1(config)#int f0/0
R1(config-if)#ip address 172.16.10.1 255.255.255.252
R1(config-if)#exit
R1(config)#int f0/1
R1(config-if)#ip address 192.168.10.254 255.255.255.0
R2
R2(config)#int f0/0
R2(config-if)#ip address 192.168.20.254 255.255.255.0
R2(config-if)#exit
R2(config)#int f0/1
R2(config-if)#ip address 172.16.10.5 255.255.255.252
ISP
ISP(config)#int f0/0
ISP(config-if)#ip address 172.16.10.2 255.255.255.252
ISP(config-if)#exit
ISP(config)#int f0/1
ISP(config-if)#ip address 172.16.10.6 255.255.255.252
2、配置R1和R2各配置一条连接ISP的默认路由
R1
R1(config-if)#ip route 0.0.0.0 0.0.0.0 172.16.10.2
R2
R2(config-if)#ip route 0.0.0.0 0.0.0.0 172.16.10.6
3、配置isakmp策略和pre-share的密码
3-1、配置ISAKMP策略
R1
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share//验证方式为预共享密钥
R1(config-isakmp)#encryption 3des//加密算法为3des
R1(config-isakmp)#hash sha//完整性校验算法为sha
R1(config-isakmp)#lifetime 86400
R1(config-isakmp)#group 2 //DH组为2
R2
R2(config)#crypto isakmp policy 10
R2(config-isakmp)#authentication pre-share//验证方式为预共享密钥
R2(config-isakmp)#encryption 3des//加密算法为3des
R2(config-isakmp)#hash sha//完整性校验算法为sha
R2(config-isakmp)#lifetime 86400
R2(config-isakmp)#group 2 //DH组为2
3-2、配置pre-share密码
R1
R1(config)#crypto isakmp key cisco address 172.16.10.5//密码是cisco 对端IP地址为172.16.10.5
R2
R2(config)#crypto isakmp key cisco address 172.16.10.1//密码是cisco 对端IP地址为172.16.10.1
4、配置ACL
R1
R1(config)#access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255//使192.168.10.0的网段可以通过ipsec访问192.168.20.0的网段
R2
R2(config)#access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255//使192.168.20.0的网段可以通过ipsec访问192.168.10.0的网段
5、配置transform-set(对应上面的isakmp策略)
R1
R1(config)#crypto ipsec transform-set trans esp-3des esp-sha-hmac//trans是自己取的名字,你们随便
R2
R2(config)#crypto ipsec transform-set trans esp-3des esp-sha-hmac
6、配置map
R1
R1(config)#crypto map map 10 ipsec-isakmp
R1(config-crypto-map)#set transform-set trans//绑定上面名为trans的transform-set
R1(config-crypto-map)#set peer 172.16.10.5//对面的IP地址
R1(config-crypto-map)#match address 100//绑定上面配置的acl
R1(config-crypto-map)#exit
R2
R2(config)#crypto map map 10 ipsec-isakmp
R2(config-crypto-map)#set transform-set trans//绑定上面名为trans的transform-set
R2(config-crypto-map)#set peer 172.16.10.1//对面的IP地址
R2(config-crypto-map)#match address 100//绑定上面配置的acl
R2(config-crypto-map)#exit
7、应用map
R1
R1(config)#int f0/0
R1(config-if)#crypto map map
R2
R2(config)#int f0/0
R2(config-if)#crypto map map
8、验证ipsec
PC2访问PC3是可以访问的,追踪路由的时发现中间进行了加密
