ipsec-vpn配置实例.docx

网络拓扑192.168 1.03-202O.2Q? 口工 1 SO®W2J66 2.0T总部环境：接口地址都已经配置完，路由也配置了，双方可以互相通信了 密钥认证的算法 2种：md5和shal加密算法2种：des和3desIPsec传输模式3种：AH验证参数：ah-md5-hmac（md5 验证）、ah-sha-hmac（sha1 验证）采用shal验证）ESP加密参数：esp-des（des 加密）、esp-3des（3des 加密）、esp-null （不对数据进行加密）ESP验证参数： esp-md5-hmac(md5 验证)、esp-sha-hmac(1启用IKE协商routerArouterA(config ) #crypto isakmp policy 1 建立IKE协商策略（1是策略编号1-1000,号越小，优先级越高routerA(config-isakmap)#hash md5 密钥认证的算法告诉路由使用预先共享的密钥（123456是设置的共享密是routerA(config-isakmap)# authentication pre-sharerouterA(config)# crypto isakmp key 123456 address对端的IP地址)。

routerB routerB(config)# crypto isakmp policy 1routerB(config-isakmap)#hash md5routerB(config-isakmap)# authentication pre-share（路由B和A的配置除了这里routerB(config)# crypto isakmp key 123456 address的对端IP地址变成了，其他都要一样的）2 配置 IPSec 相关参数routerA routerA(cnfog)#crypto ipsec transform-set testah-md5-hamc esp-des (test 传输）模式的名称 ah-md5-hamc esp-des 表示传输模式中采用的验证和加密参数routerA(config)#access-list 101 permit ip（定义哪些地址的报文加密或是不加密）routerBrouterB(config)#crypto ipsec transform-set test ah-md5-hamc esp-desrouterB(config)#acess-list 101 permit ipB 和 A 的配置除了这里的源和IP 地址变了，其他都一样）其他都一样）3 设置 crypto map （目的把 IKE 的协商信息和 IPSec 的参数，整合到一起，起一个名字)routerArouterA(config)# crypto map testmap 1 ipsec-isakmp (testmap: 给 crypto map 起的 名字。

1：优先级 ipsec-isakmp: 表示此 IPSec 链接采用 IKE 自动协商)routerA(config-crypto-map)# set peer (指定此 VPN链路，对端的 IP 地址)routerA(config-crypto-map)#set transform-set test (IPSec 传输模式的名字)routerA(config-crypto-map)#match address 101 (上面定义的 ACL列表号)routeB routerB(config)# crypto map testmap 1 ipsec-isakmprouterB(config-crypto-map)# set peer (和 A 路由的配置只有这里的对端 IP 不一样)routerB(config-crypto-map)#set transform-set test routerB(config-crypto-map)#match address 1014 把 crypto map 的名字应用到端口routerA(config)#inter s0/0 ( 进入应用 VPN的接口)routerA(config-if)# crypto map testmap ( testmap ： crypto map 的名字)B 路由和 A 完全一样。

查看VPN的配置查看安全联盟（ SA）Router#show crypto ipsec sa显示 crypto map 内的所有配置router#show crypto map查看优先级router#show crypto isakmp policy。