IPSEC VPN
有如下拓扑图:
用loopback 0 模拟电脑
R1:
Ruijie(config)#host R1
R1(config)#int s3/0
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#exit
R1(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.3.00.0.0.255 定义ipsec需要保护的数据流
R1(config)#crypto isakmp policy 1 建立安全联盟1
R1(isakmp-policy)#auth pre-share 使用预共享秘钥
R1(isakmp-policy)#hash md5 使用md5 hash算法
R1(isakmp-policy)#exit
R1(config)#crypto isakmp key 0 123456 add 192.168.1.2 建立秘钥和对端路由器ip
R1(config)#cry ipsec transform-set ruijie ah-md5-hmac esp-des 创建变换集
R1(cfg-crypto-trans)#exit
R1(config)#cry map ruijie 1 ipsec-isakmp 建立加密图1
R1(config-crypto-map)#set transform-set ruijie 使用变换集
R1(config-crypto-map)#set peer 192.168.1.2 申明对端路由器IP地址
R1(config-crypto-map)#match add 101 使用感兴趣数据流
R1(config-crypto-map)#exit
R1(config)#int g0/0 进入接口
R1(config-if)#cry map ruijie 使用加密图
R1(config-if)#int g0/1
R1(config-if)#ip add 192.168.2.1 255.255.255.0
R1(config-if)#exit
R1(config)#ip route 0.0.0.0 0.0.0.0 g0/0
R2:
Ruijie(config)#host R2
R2(config)#int s3/0
R2(config-if)#ip add 192.168.1.2 255.255.255.0
R2(config-if)#exit
R2(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.3.20.0.0.255
R2(config)#crypto isakmp policy 1
R2(isakmp-policy)#auth pre-share
R2(isakmp-policy)#hash md5
R2(isakmp-policy)#exit
R2(config)#crypto isakmp key 0 123456 add 192.168.1.1
R2(config)#cry ipsec transform-set ruijie ah-md5-hmac esp-des
R2(cfg-crypto-trans)#exit
R2(config)#cry map ruijie 1 ipsec-isakmp
R2(config-crypto-map)#set transform-set ruijie
R2(config-crypto-map)#set peer 192.168.1.1
R2(config-crypto-map)#match add 101
R2(config-crypto-map)#exit
R2(config)#int g0/0
R2(config-if)#cry map ruijie
R2(config-if)#int lo0
R2(config-if)#ip add 192.168.3.1 255.255.255.0
R2(config-if)#exit
R2(config)#ip route 0.0.0.0 0.0.0.0 g0/0
现在用电脑ping192.168.3.1
网络通畅,再在R2上使用sh cry isa sa
发现vpn协商成功了。
注意:只有触发了ipsec隧道才能看到相关的ike协商成功的信息