配置IPsec通道实现地址通信
一、拓扑图
二、要求
要求如下:
- 在路由器R1、R3上配置IPsec VPN隧道,为局域网192.168.1.0/24与局域网192.168.2.0/24的通信建立一条IPsec VPN隧道;
- 测试两个局域网之间的连通性。
三、所用代码
路由器R1:
Router>
Router>en
Router#conf t
Router(config)#no ip domain-lookup
Router(config)#line con 0
Router(config-line)#logging synchronous
Router(config-line)#exit
Router(config)#hostname R1
R1(config)#int f0/0
R1(config-if)#ip add 192.168.1.254 255.255.255.0
R1(config-if)#no sh
R1(config-if)#exit
R1(config)#crypto isakmp enable
R1(config)#crypto isakmp policy 1 //配置策略,序号为1(本地有效)
R1(config-isakmp)#authentication pre-share //验证方式为与共享密钥
R1(config-isakmp)#encryption 3des //加密算法为3des
R1(config-isakmp)#exit
R1(config)#crypto isakmp key cisco123 address 201.1.1.3//不配置key 表示加密,密码为cisco123 address为对端加密点
R1(config)#crypto ipsec transform-set myset esp-des esp-md5-hmac//配置第二阶段策略,命名为myset esp加密方式为des 完整性校验为md5
R1(config)#crypto map mymap 5 ipsec-isakmp
R1(config-crypto-map)#set peer 201.1.1.3 //指定对端地址
R1(config-crypto-map)#set transform-set myset//关联第二阶的策略
R1(config-crypto-map)#match address 101 //关联ACL
R1(config-crypto-map)#exit
R1(config)#int s0/0/0
R1(config-if)#ip add 200.1.1.1 255.255.255.0
R1(config-if)#crypto map mymap
R1(config-if)#no sh
R1(config-if)#exit
R1(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.2//配置静态默认路由
R1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255//配置ACL
R1(config)#
路由器R2:
Router>
Router>en
Router#conf t
Router(config)#no ip domain-lookup
Router(config)#line con 0
Router(config-line)#logging synchronous
Router(config-line)#exit
Router(config)#hostname R2
R2(config)#int s0/0/0
R2(config-if)#ip add 200.1.1.2 255.255.255.0
R2(config-if)#no sh
R2(config-if)#exit
R2(config)#int s0/0/1
R2(config-if)#ip add 201.1.1.2 255.255.255.0
R2(config-if)#no sh
R2(config-if)#exit
R2(config)#
路由器R3:
Router>en
Router#conf t
Router(config)#no ip domain-lookup
Router(config)#line con 0
Router(config-line)#logging synchronous
Router(config-line)#exit
Router(config)#hostname R3
R3(config)#int f0/0
R3(config-if)#ip add 192.168.2.254 255.255.255.0
R3(config-if)#no sh
R3(config-if)#exit
R3(config)#cry
R3(config)#crypto isakmp enable
R3(config)#crypto isakmp policy 1
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#exit
R3(config)#crypto isakmp key cisco123 address 200.1.1.1
R3(config)#crypto ipsec transform-set myset esp-des esp-md5-hmac
R3(config)#crypto map mymap 5 ipsec-isakmp
R3(config-crypto-map)#set peer 200.1.1.1
R3(config-crypto-map)#set transform-set myset
R3(config-crypto-map)#match address 101
R3(config-crypto-map)#exit
R3(config)#int s0/0/0
R3(config-if)#ip add 201.1.1.3 255.255.255.0
R3(config-if)#no sh
R3(config-if)#crypto map mymap
R3(config-if)#exit
R3(config)#ip route 0.0.0.0 0.0.0.0 201.1.1.2
R3(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
R3(config)#
注释: 一段时间后crypto map mymap会失效,需no掉重新再配。