IPSec ××× 的配置实现
如图所示,某软件开发公司在中小城市建立了分支公司,分支公司开发项目小组所在网
络地址为 172.16.10.0/24,该网络的主机可以通过 ××× 访问总公司开发数据服务器
(10.10.33.0/24)。
根据上述需求,网络管理员需要在分支公司的网关路由器上配置 ×××。
1.分支公司的网关路由器
路由方面的配置
R1(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2
配置 ISAKMP 策略
R1(config)#crypto isakmp policy 1
R1(config-isakmap)#encryption 3des
R1(config-isakmap)#hash sha
R1(config-isakmap)#authentication pre-share
R1(config-isakmap)#group 2
R1(config)#crypto isakmp key tedu address 200.0.0.1
配置 ACL
R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255
配置 IPSec 策略(转换集)
R1(config)#crypto ipsec transform-set yf-set esp-des ah-sha-hmac
配置加密映射集
R1(config)#crypto map yf-map 1 ipsec-isakmp
R1(config-crypto-map)#set peer 200.0.0.1
R1(config-crypto-map)#set transform-set yf-set
R1(config-crypto-map)#match address 100
将映射集应用在接口
R1(config)#interface f0/0
R1(config-if)#crypto map yf-map
2.总公司的网关路由器
路由方面的配置
R2(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2
IPSec ××× 方面的配置
R2(config)#crypto isakmp policy 1
R2(config-isakmap)#encryption 3des
R2(config-isakmap)#hash sha
R2(config-isakmap)#authentication pre-share
R2(config-isakmap)#group 2
R2(config)#crypto isakmp key tedu address 100.0.0.1
R2(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255
R2(config)#crypto ipsec transform-set yf-set esp-des ah-sha-hmac
//加密和认证算法要与分公司匹配
R2(config)#crypto map yf-map 1 ipsec-isakmp
R2(config-crypto-map)#set peer 100.0.0.1
R2(config-crypto-map)#set transform-set yf-set
R2(config-crypto-map)#match address 100
R2(config)#interface f0/0
R2(config-if)#crypto map yf-map
测试:
Ping 或访问 Web 服务
转载于:https://blog.51cto.com/13562283/2068280
