IPSec site-to-site 配置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
IPSec site-to-site的配置与检查
【场景】
IPSec site-to-site 场景。为保证两台PC之间的通信在穿越Internet时不被窃听,需要在两台路由器之间创建IPSec隧道,当数据包穿越Internet时,报文将被加密传送。
【拓扑】
IPSec-1IPSec-2 100.0.0.100/24
GW:100.0.0.1200.0.0.100/24 GW:200.0.0.1
10.0.0.110.0.0.2
IPSec 隧道
因特网云
明文密文明文
【说明】
Cisco默认协商模式为主模式。
【IPSec-1的配置】
步骤1:配置静态路由
IPSec-1(config)# ip route 200.0.0.0 255.255.255.0 10.0.0.2
步骤2:启用IKE
IPSec-1(config)# crypto isakmp enable
步骤3:配置预共享密钥,IP地址为Peer的IP地址
IPSec-1(config)# crypto isakmp identity address
// 填充My ID和识别Your ID时,使用IP地址的方式。
IPSec-1(config)# crypto isakmp key 123456 address 10.0.0.2
// address 为Peer 的IP地址
步骤4:创建IKE策略
IPSec-1(config)# crypto isakmp policy 100
// policy后面输入的是优先级值,协商时,如果有多个优先级值(策略)存在,路由器则会取出具有最高优先级的策略与对端协商,如果协商参数不匹配,则依次向下选择次优的策略,直到协商成功或协商失败。
IPSec-1(config-isakmp)# encryption aes 256
IPSec-1(config-isakmp)# hash md5
IPSec-1(config-isakmp)# authentication pre-share// 认证方式为预共享密钥
IPSec-1(config-isakmp)# group 16// 设置DH组(Diffie-Hellman group 16 - 4096 bit)IPSec-1(config-isakmp)# lifetime 86400
IPSec-1(config-isakmp)# exit
步骤5:配置IPSec参数
IPSec-1(config)# crypto ipsec transform-set my_set esp-aes 256
IPSec-1(cfg-crypto-trans) # mode tunnel
IPSec-1(cfg-crypto-trans)# exit
// 配置变换级,变换级名称为my_set,加密方式为esp-aes 256
IPSec-1(config)# crypto ipsec security-association lifetime seconds 3600
// 配置第二阶段SA的lifetime
步骤6:创建加密访问列表
IPSec-1(config)# access-list 111 permit ip 100.0.0.0 0.0.0.255 200.0.0.0 0.0.0.255
// 源为100.0.0.0 / 24,目的为200.0.0.0 / 24
步骤7:创建加密图
IPSec-1(config)# crypto map my_map 100 ipsec-isakmp
// 关键字ipsec-isakmp指明使用ISAKMP来建立用于保护这个加密图条目所指定数据流的IPSec安全关联。
IPSec-1(config-crypto-map)# match address 111
IPSec-1(config-crypto-map)# set peer 10.0.0.2
IPSec-1(config-crypto-map)# set transform-set my_set
IPSec-1(config-crypto-map)# set pfs group2
IPSec-1(config-crypto-map)# exit
步骤8:将加密图应用到接口
IPSec-1(config)# interface fastEthernet 0/0
IPSec-1(config-if)# crypto map my_map
IPSec-1(config-if)# exit
步骤9:默认为主模式,如果需要将协商模式改为积极模式,则需要输入如下配置(本例为主模式)
IPSec-1(config)# crypto isakmp peer address 10.0.0.1
IPSec-1 (config-isakmp-peer)# set aggressive-mode client-endpoint ipv4-address 10.0.0.1 IPSec-1 (config-isakmp-peer)# set aggressive-mode password 123456
IPSec-1 (config-isakmp-peer)# exit
【IPSec-2的配置】
IPSec-2(config)# ip route 100.0.0.0 255.255.255.0 10.0.0.1
IPSec-2(config)# crypto isakmp enable
IPSec-2(config)# crypto isakmp key 123456 address 10.0.0.1
IPSec-2(config)# crypto isakmp policy 100
IPSec-2(config-isakmp)# encryption aes 256
IPSec-2(config-isakmp)# hash md5
IPSec-2(config-isakmp)# authentication pre-share
IPSec-2(config-isakmp)# group 16
IPSec-2(config-isakmp)# lifetime 86400
IPSec-2(config-isakmp)# exit
IPSec-2(config)# crypto ipsec transform-set my_set esp-aes 256
IPSec-1(cfg-crypto-trans) # mode tunnel
IPSec-2(cfg-crypto-trans)# exit
IPSec-2(config)# crypto ipsec security-association lifetime seconds 3600
IPSec-2(config)# access-list 111 permit ip 100.0.0.0 0.0.0.255 200.0.0.0 0.0.0.255
IPSec-2(config)# crypto map my_map 100 ipsec-isakmp
IPSec-1(config-crypto-map)# match address 111
IPSec-1(config-crypto-map)# set peer 10.0.0.2
IPSec-1(config-crypto-map)# set transform-set my_set
IPSec-2(config-crypto-map)# set pfs group2
IPSec-2(config-crypto-map)# exit
IPSec-2(config)# interface fastEthernet 0/0
IPSec-2(config-if)# crypto map my_map
IPSec-2(config-if)# exit
// 可选,将协商模式从默认的主模式更改为积极模式(本例为主模式)
IPSec-2(config)# crypto isakmp peer address 10.0.0.1
IPSec-2 (config-isakmp-peer)# set aggressive-mode client-endpoint ipv4-address 10.0.0.1 IPSec-2 (config-isakmp-peer)# set aggressive-mode password 123456
IPSec-2 (config-isakmp-peer)# exit