《ipsecvpn配置案例.docx》由会员分享,可在线阅读,更多相关《ipsecvpn配置案例.docx(8页珍藏版)》请在优知文库上搜索。
1、ipsecvpn配置案例篇一:ipec_vpn配置实例环境:接口地址都已经配置完,路由也配置了,双方可以互相通信了密钥认证的算法2种:md5和ha1加密算法2种:de和3deIPec传输模式3种:AH验证参数:ah-md5-hmac(md5验证)、ah-ha-hmac(hal验证)ESP加密参数:ep-de(de加密)、ep-3de(3de加密)、ep-null(不对数据进行加密)ESP验证参数:ep-md5-hma(md5验证)、ep-ha-hmac(采用hal验证)1启用IKE商议routerA(config-iakmap)tthahmd5密钥认证的算法routerA(config-iak
2、map)ttauthenticationpre-hare告诉路由使用预先共享的密钥routerA(config)ttcryptoiakmpkey123456addre20.20.20.22(123456是设置的共享密钥,20.20.20.22是对端的IP地址)。routerB(config)#CryPtOiakmPPOliCy1#建立IKE策略,优先级为1routerB(config-iakmap)#hahmd5#指定hah算法为MD5(其他方式:ha,ra)routerB(config-iakmap)#authenticationpre-hare#使用预共享的密码进行身份验证routerB(
3、config)#cryptoiakmpkey123456addre20.20.20.21(路由B和A的配置除了这里的对端IP地址变成为了20.20.20.21,其他都要一样的)。2配置IPSeC相关参数routerA(cnfog)Scryptoipectranform-ettetah-md5-hamcep-de(tet传输模式的名称。ah-md5-hamcep-de表示传输模式中采用的验证和加密参数)。routerA(config)#ace-litllpermitipl92.168.1.00.0.0.255192.168.2.00.0.0.255(定义哪些地址的报文加密或者是不加密)route
4、rB(config)ttcryptoipectranform-ettetah-md5-hamcep-derouterB(config)ttacelitllpermitipl92.168.2.00.0.0.255192.168.1.00.0.0.255(路由器B和A的配置除了这里的源和目的IP地址变了,其他都一样)3设置cryptomap(目的把IKE的商议信息和IPSeC的参数,整合到一起,起一个名字)routerA(config)ttcryptomaptetmaplipec-iakmp(tetmap:给cryptomap起的名字。1:优先级。ipec-iakmp:表示此IPSeC链接采用IK
5、E自动商议)routerA(config-crypto-map)ttetpeer20.20.20.22(指定此VPN链路,对端的IP地址)。routerA(config-crypto-map)ttettranform-ettet(IPSec传输模式的名字)routerA(config-crypto-0)#013d11(1(1正101(上面定义的CL列表号)routerB(config)#CryPtOmaPtetilIaPlipec-iakmprouterB(config-crypto-map)ttetpeer20.20.20.21(和A路由的配置惟独这里的对端IP不一样)routerB(con
6、fig-crypto-map)Wettranform-ettetrouterB(config-cryto-ma)matchaddre1014把cryptomap的名字应用到端口routerA(config)#inter0/0(进入应用VPN的接口)routerA(config-if)ttcryptomaptetmap(tetmap:cryptomap的名字)B路由和A彻底一样查看VPN的配置查看安全联盟(SA)Routertthowcryptoipeca显示cryptomap内的所有配置routertthowcryptomap查看优先级routertthowcryptoiakmppolicy篇
7、二:ipec-vpn配置实例网络拓扑环境:接口地址都已经配置完,路由也配置了,双方可以互相通信了密钥认证的算法2种:md5和ha1加密算法2种:de和3deIPec传输模式3种:AII验证参数:ah-md5-hmac(md5验证)、ah-ha-hmac(hal验证)ESP加密参数:ep-de(de加密)、ep-3de(3de加密)、ep-null(不对数据进行加密)ESP验证参数:ep-md5-hmac(md5验证)、ep-ha-hmac(采用hal验证)1启用IKE商议routerArouterA(config-iakmap)tthahmd5密钥认证的算法routerA(config-iak
8、map)#authenticationpre-hare告诉路由使用预先共享的密钥routerA(config)ttcryptoiakmpkey123456addre20.20.20.22(123456是设置的共享密20.20.20.22是对端的IP地址)。routerBrouterB(config)#cryptoiakmppoIicy1routerB(config-iakmap)#hahmd5routerB(config-iakmap)#authenticationpre-harerouterB(config)#cryptoiakmpkeyl23456addre20.20.20.21(路由B和
9、A的配置除了这里的对端IP地址变成为了20.20.20.21,其他都要一样的)。2配置IPSeC相关参数routerArouterA(cnfog)ftcryptoipectranform-ettetah-md5-hamcep-de(tet传输模式的名称。ah-md5-hamcep-de表示传输模式中采用的验证和加密参数)。routerA(config)ttacce-litllpermitipl92.168.1.00.0.0.255192.168.2.00.0.0.255(定义哪些地址的报文加密或者是不加密)routerBrouterB(config)Scryptoipectranform-et
10、tetah-md5-hamcep-derouterB(config)#ace-litllpermitipl92.168.2.00.0.0.255192.168.1.00.0.0.255(路由器B和A的配置除了这里的源和目的IP地址变了,其他都一样)3设置cryptomap(目的把IKE的商议信息和IPSeC的参数,整合到一起,起一个名字)routerArouterA(config)ttcryptomaptetmaplipec-iakmp(tetmap:给cryptomap起的名字。1:优先级。ipec-iakmp:表示此IPSeC链接采用IKE自动商议)routerA(config-crypt
11、o-map)ttetpeer20.20.20.22(指定此VPN链路,对端的IP地址)。routerA(config-crypto-map)ttettranform-ettet(IPSec传输模式的名字)routerA(config-CryPto-map)#nIatChaddrelOl(上面定义的ACL列表号)routeBrouterB(config)ttcryptomaptetmaplipec-iakmprouterB(config-crypto-map)ftetpeer20.20.20.21(和A路由的配置惟独这里的对端IP不一样)routerB(config-crypto-map)tte
12、ttranform-ettetrouterB(config-crypto-map)matchaddre1014把cryptomap的名字应用到端口routerA(config)#inter0/0(进入应用VPN的接口)routerA(config-if)#cryptomaptetmap(tetmap:cryptomap的名字)B路由和A彻底一样。查看VPN的配置查看安全联盟(SA)Routertthowcryptoipeca显示cryptomap内的所有配置routerfthowcryptomap查看优先级routertthowcryptoiakmppolicy篇三:IPeCVPN配置实例试验
13、top:ipecvpn的配置包括一下几个步骤:1 .配置ike的商议2 .配置ipec的商议3 .配置端口的应用4ike的调试和排错按照步骤建立ike的商议策略和参数# hahmd5hal此命令表明设置密匙认证用的算法hal比md5安全性高# encryptionde|3de此命令用舞设置加密用的算法3de比de强度更大# aUtheniCatiOnPre-hare此命令告诉router使用预先共享的密匙此密码是人为指定RKconfigttcryptoiakmpkey(pawordaddre(perraddre)a是单向的因此要用此命令设置共享的密码和对端的ip如图的R2的1/0注:VPn链路
14、两端的密码必须相同2,配置ipec相关参数D指定crypto访问控制列表RKconfigttacce-litaccre-lit-numberdenypermitRl到R2的ip段2配置ipec的传输模式RKconfigttcryptoipectranform-etnameH验证参数ESP加密参数ESP验证参数注:每种参数只能选择一种但是可以同时选择3种3 .配置端口的应用1设置cryptomap相关参数RKconfigficryptomapmapnameeq-11um范围ipec-iakmp参数ipec-iakmp表示ipec将采用ike自动商议参数eq-num表示map的优先级值越小优先级越
15、accreTiLnumbeH指定cryptomap使用的访问控制列表RkConfig#etaddreip-addre参数ip-addre因该和前面配置ike中对端ip相同RiXCOnfig#ettranform-etname此命令指定cryptomap应用的传输模式此模式因在配置ipec时已定义name即是CryPtoiPeCtranfOrm-et配置的name4 .应用到端口R1interface1/1#CryPtOnIaPmap-name参数map-name是前面配置CryPtOlnaP的name即cryptomapmapnameeq-num范围ipec-iakmp这条命令配置的name5 .ipecvpn配置与检查howcryptoiakmppolicyHowcryptoipecahowcryptoiakmpaHowcryptomaphowcryptoipectranform-etRl与R2配置相同就不做阐述