站点到站点

实验]ipsec VPN 站点到站点配置

[Security实验]ipsec VPN 站点到站点配置

首先讲解：VPN：虚拟专用链接，增加数据传输的安全性！ 1、ipsecVPN建立需要三个阶段 IKE第一阶段： 左边的为R1

配置如下：Router(config)#line con 0 Router(config-line)#logg sy Router(config-line)#exec-t 0 0 Router(config-line)#no ip do lo Router(config-line)#ho R1 R1(config)#ho VPN1

VPN1(config)#crypto isakmp enable //开启加密功能//

VPN1(config)#crypto isakmp policy 10 //定义机密策略，这个“10”为策略的优先级，值越低，优先级越高//

VPN1(config-isakmp)# hash md5 //定义hash 校验方式（数据校验）// VPN1(config-isakmp)# authentication pre-share //认证模式为预共享模式// VPN1(config-isakmp)#encryption des（数据加密的算法，双方也要相同） VPN1(config-isakmp)#group 1 //这里还有group 2比group 1更强大，双方要相同//

VPN1(config-isakmp)#lifetime 800

VPN1(config)#crypto isakmp identity address //定义身份验证的方式是以地址还是hostname//

VPN1(config)#crypto isakmp key 0 cisco address 22.22.22.22 255.255.255.0 //定义双方认证的密码，注意这里的address后面一定是对端的物理接口上的地址，并且双方的密码要一样//

IKE第二阶段：

VPN1(config)#crypto ipsec transform-set ccna esp-des esp-md5-hmac //定义数据加密解密转换的模式//

VPN1(config)#crypto ipsec security-association lifetime seconds 800 //ipsec保持时间//

VPN1(config)#access-list 100 permit ip 1.1.1.0 0.0.0.255 2.2.2.2 0.0.0.255 // 这条一定要有，只让需要加密的数据穿过，其他的拒绝从VPN通道中过去// VPN1(config)#crypto map ccna 1 ipsec-isakmp //定义加密映射参数// VPN1(config-crypto-map)#match address 100 //匹配上面定义的ACL//

VPN1(config-crypto-map)#set peer 22.22.22.22 //如果符合上面的，那么设定对端为22.22.22.22//

VPN1(config-crypto-map)#set transform-set ccna //符合上面的ACL，用下面的转换方式//

VPN1(config-crypto-map)#set security-association lifetime seconds 800 IKE第三阶段：接口绑定

VPN1(config-crypto-map)#int f0/0 VPN1(config-if)#crypto map ccna

VPN1(config)#ip route 0.0.0.0 0.0.0.0 f0/0 //一定要让1.1.1.0网络的数据出去// VPN1#ping //用扩展ping来测试连通性// Protocol [ip]:

Target IP address: 2.2.2.2 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y

Source address or interface: 1.1.1.1 Type of service [0]:

Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]:

Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]:

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds: Packet sent with a source address of 1.1.1.1 !!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 48/127/288 ms 整个过程完毕