准备步骤:
1、给各路由器配置IP地址
2、R1 R3设置一条默认路由,R2只配IP地址,不做任何路由设置。
R1:
R1(config)#crypto isakmp enable //开启ike阶段SA协商
R1(config)#crypto isakmp policy 10 //创建ike策略,10为序号,越小越优先。
R1(config-isakmp)#authentication pre-share //开启pre-share作为认证方式
R1(config-isakmp)#hash sha //Hash算法使用sha算法
R1(config-isakmp)#encryption 3des //加密算法使用3des
R1(config-isakmp)#group 2 //DH组选择组2
exit
R1(config)#crypto isakmp key 0 cisco123 address 192.168.23.3 //设置预共享密钥为cisco123,0为明文,6为密文(仅在SHOW时有效),使用该密钥和192.168.23.3对等体进行认证
R1(config)#crypto ipsec transform-set myset esp-3des esp-sha-hmac
//定义ipsec阶段转换集,名为myset,该阶段加密使用3des,完整性使用sha-hmac算法,模式为esp模式,esp模式为默认隧道模式。(这一步才是真正的数据加密过程)
R1(config)#access-list 101 permit ip host 1.1.1.1 host 2.2.2.2 //定义感兴趣流,指定哪些流量走VPN隧道,此处为所有源为1.1.1.1 目标为2.2.2.2的流量。
R1(config)#crypto map map123 10 ipsec-isakmp //设置crypto-map映射表,名称为map123,10为序号。
R1(config-crypto-map)#set transform-set myset //调用转换集myset
R1(config-crypto-map)#set peer 192.168.23.3 //建立对等体
R1(config-crypto-map)#match address 101 //匹配acl101中的感兴趣流
R1(config)#int e0/0 //e0/0为对端建立对等体时,IP地址所在接口。
R1(config-if)#crypto map map123 //在接口上调用map123
R3配置同R1
改动一下3条命令:
crypto isakmp key 0 cisco123 add 192.168.12.1
access-list 101 permit ip host 2.2.2.2 host 1.1.1.1
set peer 192.168.12.1