Ipsec VPN 配置 – 作者:yggcwhat

网络拓扑

实现原理

IPSEC 分为两个阶段:

1.第一个阶段——IKE阶段（站点设备之间建立隧道而所协商的策略)

2.第二个阶段——IPSEC阶段（在第一个阶段建立的隧道中保护传送的数据)

3.配置IPSEC策略，调用第二个阶段

关键配置

R1关键配置

r1-cgy(config)#ip route 0.0.0.0 0.0.0.0 100.1.1.2（配置静态路由到r3）

R1(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 （配置配ACL）

IKE阶段

r1-cgy(config)#crypto isakmp policy 1(进入IKE策略配置模式1)

r1-cgy(config-isakmp)#encryption 3des(设置采用的加密方式3des)

r1-cgy(config-isakmp)#hash md5 (采用的散列算法，MD5为128位，sha为160位)

r1-cgy(config-isakmp)#authentication pre-share (采用预共享密钥的认证方式)

r1-cgy(config-isakmp)#group 2(指定密钥的位数，越往下安全性越高，但加密速度越慢)

r1-cgy(config)#crypto isakmp key 0 cisco123 address 200.1.1.3(/设置IKE交换的密钥，0表示密钥组成-明文，200.1.1.3表示对方的IP地址)

IPSEC阶段

r1-cgy(config)#crypto ipsec transform-set p2 esp-3des esp-md5-hmac (设置IPsec交换集，设置加密方式和认证方式，p2是交换集名称，可以自己设置，两端的名字也可不一样，但其他参数要一致。)

r1-cgy(cfg-crypto-trans)#mode tunnel (开启隧道模式)

创建映射加密图

r1-cgy(config)#crypto map IPSEC 1 ipsec-isakmp (建立加密映射表，IPSEC为表名，可以自己定义，1为优先级（可选范围1-65535），如果有多个表，数字越小的越优先工作。)

r1-cgy(config-crypto-map)#match address 100(用ACL来定义加密的通信)

r1-cgy(config-crypto-map)#set peer 200.1.1.3(标识对方路由器IP地址)

r1-cgy(config-crypto-map)#set transform-set p2(指定加密图使用的IPSEC交换集)

配置IPSEC策略，调用第二个阶段应用加密图到接口

R1-cgy(config)#int f0/0()

R1-cgy(config-if)#crypto  map IPSEC (进入路由器的指定接口，应用加密图到接口，IPSEC为加密图名)

R3关键配置

r3-cgy(config-if)#ip route 0.0.0.0 0.0.0.0 200.1.1.2 (配置静态路由到r3)

r3-cgy(config)#access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255(配置配置ACL)

IKE阶段

r3-cgy(config)#crypto isakmp policy 10(进入IKE策略配置模式10)

r3-cgy(config-isakmp)#encryption 3des (设置采用的加密方式3des)

r3-cgy(config-isakmp)#hash md5 (采用的散列算法，MD5为128位，sha为160位)

r3-cgy(config-isakmp)#authentication pre-share (采用预共享密钥的认证方式)

r3-cgy(config-isakmp)#group 2(指定密钥的位数)

r3-cgy(config)#crypto isakmp key 0 cisco123 address 100.1.1.1 (设置IKE交换的密钥，明文，对方的IP地址)

IPSEC阶段

r3-cgy(config)#crypto ipsec transform-set p2 esp-3des esp-md5-hmac (设置IPsec交换集，设置加密方式和认证方式，p2是交换集名称)

r3-cgy(cfg-crypto-trans)#mode tunnel (开启隧道模式)

创建映射加密图

r3-cgy(cfg-crypto-trans)#crypto map IPSEC 1 ipsec-isakmp (建立加密映射表，IPSEC为表名，可以自己定义，1为优先级)

r3-cgy(config-crypto-map)#match address 100(用ACL来定义加密的通信)

r3-cgy(config-crypto-map)#set transform-set p2(指定加密图使用的IPSEC交换集)

r3-cgy(config-crypto-map)#set peer 100.1.1.1(标识对方路由器IP地址)

配置IPSEC策略，调用第二个阶段应用加密图到接口

r3-cgy(config)#int f0/0

r3-cgy(config-if)#crypto map IPSEC (进入路由器的指定接口，应用加密图到接口，IPSEC为加密图名)

实验结果

查看R1路由表 和接口配置信息

r1-cgy(config)#do show ip rou（可以看到数据包去往r3默认走r2）

100.0.0.0/24 is subnetted, 1 subnets

C       100.1.1.0 is directly connected, FastEthernet0/0

C    192.168.1.0/24 is directly connected, Loopback0

S*   0.0.0.0/0 [1/0] via 100.1.1.2

r1-cgy(config)#do show ip int bri

Interface                  IP-Address      OK? Method Status                Protocol

FastEthernet0/0            100.1.1.1       YES manual up                    up

FastEthernet0/1            unassigned      YES unset  administratively down down

Loopback0                  192.168.1.1     YES manual up                    up

查看R2接口的ip简单配置信息

r2-cgy(config-if)#do show ip int bri

Interface                  IP-Address      OK? Method Status                Protocol

FastEthernet0/0            100.1.1.2       YES manual up                    up

FastEthernet0/1            200.1.1.2       YES manual up                    up

查看R3路由表和接口配置信息

r3-cgy(config)#do show ip rou（可以看到数据包去往r1默认走r2）

C    200.1.1.0/24 is directly connected, FastEthernet0/0

C    192.168.3.0/24 is directly connected, Loopback0

S*   0.0.0.0/0 [1/0] via 200.1.1.2

r3-cgy(config)#do show ip int bri

Interface                  IP-Address      OK? Method Status                Protocol

FastEthernet0/0            200.1.1.3       YES manual up                    up

FastEthernet0/1            unassigned      YES unset  administratively down down

Loopback0                  192.168.3.1     YES manual up                    up

R1上查看配置信息

r1-cgy(config)#do show run

!

crypto isakmp policy 1

encr 3des

hash md5

authentication pre-share

group 2

crypto isakmp key cisco123 address 200.1.1.3

!

!

crypto ipsec transform-set p2 esp-3des esp-md5-hmac

!

crypto map IPSEC 1 ipsec-isakmp

set peer 200.1.1.3

set transform-set p2

match address 100

!

R3上查看配置信息

r3-cgy(config)#do show run

!

crypto isakmp policy 10

encr 3des

hash md5

authentication pre-share

group 2

crypto isakmp key cisco123 address 100.1.1.1

!

!

crypto ipsec transform-set p2 esp-3des esp-md5-hmac

!

crypto map IPSEC 1 ipsec-isakmp

set peer 100.1.1.1

set transform-set p2

match address 100

!

来源：freebuf.com 2021-05-22 17:32:49 by: yggcwhat