基于cisco路由器做IPSec VPN隧道

实验要求:拓扑图如下所示,R1和R5作为internet中两端内部局域网,通过在网关设备R2和R4上设置IPsec VPN,使两端的局域网之间建立一种逻辑上的虚拟隧道。

实验步骤:首先配置所有理由器接口的IP地址(略),并指定默认路由(因为是末梢网络)。

R1上面的默认路由如下所示。

R2上面的默认路由如下所示。

ISP是运营商,在这里用来模拟外部网络,只需要配置IP地址就行。

R4上面的默认路由如下所示。

R5上面的默认路由如下所示。

此时配置完成两个局域网是不能够通信的。下面就需要分别在R2和R4上做IPsecVPN来实现互联互通。

R2(config)#crypto isakmp policy 1  //配置安全策略

R2(config-isakmp)#encryption 3des //管理链接的最后两个数据报文(用于身份验证)采用何种加密算法

R2(config-isakmp)#hash sha  //指定验证过程采用HMAC的功能

R2(config-isakmp)#authentication pre-share//设备身份验证的方式

R2(config-isakmp)#group 2 //指定DH密钥组,默认1

R2(config-isakmp)#lifetime 60//指定管理连接的生存周期默认86400

R2(config)#crypto isakmp key 6 123123 address 20.0.0.1//配置预共享密钥,“6”表示密钥使用加密的方式(不然show出来的就是明文),后面123123是密码,然后address跟对端的IP地址。

R2#show crypto isakmp policy  //查看安全策略配置信息

R2(config)#access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 //配置crypto ACL指定需要被保护的流量或网段,两端对等体上的ACL互为镜像。

R2(config)#crypto ipsec transform-set benet esp-des ah-sha-hmac //配置传输集,对数据进行加密,benet为传输集的名称,后面依次为加密算法和验证算法。

R2(cfg-crypto-trans)#mode tunnel  //设置模式为隧道模式

R2(config)#crypto ipsec security-association lifetime seconds 1800 //这是在全局模式中设置生存周期(可选)

R2(config)#crypto map zhang 1 ipsec-isakmp //配置静态的crypto map,需要指定名称和序列号,数值越小优先级越高。

R2(config-crypto-map)#set peer 20.0.0.1 //指定IPsec的对等体设备

R2(config-crypto-map)#set transform-set benet//指定传输集的名称

R2(config-crypto-map)#match address 100 //用于调用crypto ACL

R2(config)#int fa0/1   //注意接口不要进错了

R2(config-if)#crypto map zhang //进接口,应用上面的配置

R4(config-crypto-map)#set security-association idle-time  <60-86400> //设置空闲超时计时器,后面是范围(可选)

下面是R4上面的配置,配置过程基本一致。

R4(config)#access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 //设置crypto ACL流量

R4(config)#crypto ipsec transform-set benet esp-3des ah-sha-hmac

//指定传输集名称,以及加密和验证算法

R4(cfg-crypto-trans)#mode tunnel

以上配置完成之后可以使用R1对R5接口的局域网IP地址进行ping测试,有时会有延时,等会才能生效。

此时可以查看R2或者R4上面的配置细心。如:R4#show crypto isakmp sa //查看管理连接SA的状态

R2#show crypto ipsec sa //显示数据连接SA(对等体)的细节信息

如果要查看详细的配置信息是否生效,可以使用show run进行查看。如:

R2上面的配置结果和R4基本一致(当然除了IP地址),就不在啰嗦了,OK实验完成!

谢谢欣赏!

时间: 2024-10-10 08:07:06

基于cisco路由器做IPSec VPN隧道的相关文章

Cisco路由器配置 IPsec VPN

拓扑图 实验目的: 实现R1网段:172.16.10.0/24与R2网段172.17.10.0/24通信加密. 配置思路: 路由 通过ACL设置感兴趣流 配置IKE第一阶段 配置IKE第二阶段 新建MAP,并应用于接口 配置: R1: 配置默认路由和接口IP信息 interface Loopback0  ip address 172.16.10.1 255.255.255.0  no shu exit interface FastEthernet0/0  ip address 200.1.1.1

cisco 5505 与cisco路由器做ipsecVPN遇到的问题解决

cisco 路由器做ipsecVPN的时候 能建立起来 但是双方内网不通,这个问题一般都是nat的问题  你想让一个网段不走nat 走vpn的话 你要先deny这个网段到对端网段  然后在permit这个网段到对端网段 先拒绝再允许 目的地是any的放到后面 这样acl匹配的时候从上往下 只要去往vpn的流量自然被拒绝不走nat转换了 access-list 101 deny ip 10.70.1.0 0.0.0.255  192.168.70.0 0.0.0.255          acce

Cisco 3640系列IPsec VPN简单配置

Cisco 3640系列IPsec VPN简单配置 实验拓扑图: 实验步骤: 第一步:配置路由 第二步:匹配的数据包流量(ACL,注意两端要对称) 第三步:IKE的第一阶段(称为 ISAKMP SA) 第四步:IKE的第二阶段(称为IPSEC SA) 第五步:MAP(第二.三.四步的结合) 第六步:应用配置到外网口 模拟Internet步骤如下: 1.路由配置 R1: Router>en Router#conft Enterconfiguration commands, one per line

架设基于StrongSwan的L2tp/IPSec VPN服务器

架设基于StrongSwan的L2tp/IPSec VPN服务器 参考: http://agit8.turbulent.ca/bwp/2011/01/setting-up-a-vpn-server-with-ubuntu-1004-and-strongswan/ 以下操作基于Debian 6 安装StrongSwan apt-get install libgmp3-dev libssl-dev make cd /tmp wget http://download.strongswan.org/st

CISCO 在NAT下做IPsec VPN常见的问题及配置实例详解

前言: VPN作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一条"专线",将组织的分支机构和总部连接起来,组成一个大的局域网.IPSEC引进了完整的安全机制,包括加密.认证和数据防篡改功能. IPsec的协商分为两个阶段: 第一阶段:验证对方,协商出IKE SA ,保护第二阶段IPSEC Sa协商过程 第二阶段:保护具体的数据流 拓扑如下: (测试结果用红色字体展现) 在这种情况下,不做NAT的时候,VPN可以正常使用,两边的私网是不

CIsco路由器实现IPSec 虚拟专用网原理及配置详解

博文大纲:一.虚拟专用网概述:1.虚拟专用网的定义:2.虚拟专用网的模型与类型:(1)虚拟专用网的连接模式:(2)虚拟专用网的类型: 二.虚拟专用网技术:1.加密技术:(1)对称加密算法:(2)非对称加密算法:(3)密钥交换:2.数据报文验证:(1)HMAC功能实现验证功能:(2)MD5和SHA: 三.IPSec 虚拟专用网: 1.IPsec连接:2.ISAKMP/IKE阶段1:3.ISAKMP/IKE阶段2:四.配置实现IPSec 虚拟专用网:五.常用排错的命令: 关于虚拟专用网理论知识较多,

锐捷路由器实现IPSEC IKE 隧道

IPSEC  VPN 有如下拓扑图: 用loopback 0 模拟电脑 R1: Ruijie(config)#host R1 R1(config)#int s3/0 R1(config-if)#ip add 192.168.1.1 255.255.255.0 R1(config-if)#exit R1(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.3.00.0.0.255    定义ipsec需要保护的数据流 R1

飞塔防火墙和tplink路由器建立IPSEC VPN

公司外网网关为一台飞塔防火墙,需要与分支机构建立一条IPSEC vpn链路,分支机构有一台tplink路由器可支持ipsec功能. tplink路由器配置步骤: 一.创建vpn建立第一阶段IKE的加密组件: 二.创建vpn第一阶段相关模式信息: 三.创建第二阶段加密组件以及模式: 四.其他的访问控制,全部放行即可.(路由设置好本地路由即可,vpn中的远端路由不需要写到路由表中.) 飞塔防火墙配置步骤: 一.创建vpn第一阶段配置信息 二.创建vpn第二阶段配置信息 说明:好像vpn两端配置的源地

通过GRE协议在路由器上配置VPN隧道

50篇博客了,还从未上过推荐博客,今天抽出这点时间发表一篇博客,也想对自己说一下,我全部都是写给自己的,省的以后忘记(好随时点开查看一下),也是对自己的一种锻炼.锻炼自己写文档的能力,写项目的能力.废话少续,继续实验! 实验要求:通过在R2网关路由器上配置GRE路由协议使得R1和R5能够建立一条隧道,并且正常通信. 这里配置的只是一条隧道而已,因为并没有加密.只是GRE协议. 下面是操作步骤:ISP运营商上面只需要配置两个IP地址而已,其他什么都不需要(过程略). R1上不仅要配IP地址,还要配