LAN to LAN IPSec VPN的配置

实验拓扑:
ipsec vpn, VPN, IPSec, 拓扑
LAN to LAN配置:
第一步,在配置IPSec VPN之前,要确保R1,R2和R3之间的互通,当然R1上不能通告内网的网段,R3上也不能通过内外的网段。
第二步,配置PC机,用路由器模拟。
第三步:R1上的配置:
R1(config)#crypto ipsec transform-set myset esp-des       //设置IPsec数据转换,使用DES加密
R1(cfg-crypto-trans)#exi
R1(config)#crypto isakmp policy 10                   //设置isakmp组策略
R1(config-isakmp)#authentication pre-share           //使用共享密钥
R1(config-isakmp)#hash md5                          //使用MD5算法加密
R1(config-isakmp)#exi
R1(config)#crypto isakmp key jackie address 23.23.23.3       //设置isakmp共享密钥,并指向对方IP
R1(config)#crypto map mymap 10 ipsec-isakmp                  //建立静态映射密钥
% NOTE: This new crypto map will remain disabled until a peer
        and a valid access list have been configured.
R1(config-crypto-map)#set peer 23.23.23.3                    //设置对端的IP
R1(config-crypto-map)#set transform-set myset                //设置数据转换采用myset方式
R1(config-crypto-map)#match address 110                      //过滤被允许的网段
R1(config-crypto-map)#exi
R1(config)#ac 110 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255    //允许的网段
R1(config)#int s0/0
R1(config-if)#crypto map mymap        //端口上应用
R1(config-if)#exi
R1(config)#ip route 0.0.0.0 0.0.0.0 s0/0    //这条静态路由很重要,要是没有的话VPN就不通了。
R1(config)#ac 120 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
R1(config)#ac 120 permit ip 192.168.1.0 0.0.0.255 any     //过滤走IPSec VPN的流量,把不走IPSec VPN的通过NAT出去
R1(config)#int s0/0
R1(config-if)#ip nat o
R1(config-if)#int f1/0
R1(config-if)#ip nat in
R1(config-if)#exi
R1(config)#ip nat inside source list 120 interface s0/0 overload
R3上的配置和R1上的类似,稍微做相应的修改即可。
步骤:
1、先配置一个IPSec数据转换。
2、配置一个isakmp的组策略,在里面配置authentication和hash。
3、配置isakmp共享密钥,指向对方的IP。
4、配置静态映射,在里面配置对等体,transform-set和允许的流量。
5、端口上应用。
注意:
1、120号的访问控制列表是为了让特定的流量走IPSec VPN,不进行NAT的转换。
2、默认路由要配置,否则走IPSec VPN的流量不知道怎么出去,会导致一遍出现".....",另一边出现"U.U.U"。
3、要在端口上应用crypto map。
4、路由器的IOS要支持IPSec,可以选用K8或K9。

3 Comments

  1. esp-des
    如果用AH的话,一个就够了。但是用esp的话,除了这个esp-des加密,还需要esp验证,比如再加个命令,esp-sha-hmac.

留言

Your email address will not be published. Required fields are marked *