VPN配置详解

2024年5月25日发(作者：)

VPN配置详解

全局启用ISAKMP并定义对等体及设置VPN流量:

1、开启isakmp协议

R1(config)#crypto isakmp enable /---默认开启---/

2、设置流经VPN隧道达到对方的流量

R1(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255

IKE第一阶段

设置ISAKMP策略及其参数

R1(config)#crypto isakmp policy 10 /---设置IKE策略及优先级----/

R1(config-isakmp)#encryption Des /---默认是DES加密---/

3des

Aes

R1(config-isakmp)#hash sha /---默认是SHA-1---/

Md5

R1(config-isakmp)#authentication pre-share /---身份认证（预共享密钥）---/

Rsa-encr

Rsa-sig

R1(config-isakmp)#group 2 /---默认是768位的DH1---/

1

5

R1(config-isakmp)#lifetime 3600 /---默认是86400秒---/

R1(config-isakmp)#exit

设置密码及对端VPN IP

R1(config)#crypto isakmp key 91lab address 192.168.1.2

IKE第二阶段

设置转换集及参数

R1(config)#crypto ipsec transform-set tt esp-des esp-sha-hmac

ah-md5-hmac

ah-sha-hmac

comp-lzs

esp-aes

esp-des

esp-md5-hmac

esp-null

esp-seal

esp-sha-hmac

设置工作模式

R1(cfg-crypto-trans)#mode

transport

tunnel

R1(cfg-crypto-trans)#exit

设置加密图及其参数

R1(config)#crypto map cisco 10 ipsec-isakmp /---设置加密图及其生命周期---/

R1(config-crypto-map)#match address 100 /---匹配VPN流量ACL号---/

R1(config-crypto-map)#set peer 192.168.1.2 /---定义要应用crypto map的对

等地址---/

R1(config-crypto-map)#set transform-set tt /---匹配转化集名称---/

接口生效VPN策略

R1(config)#interface serial0/0

R1(config-if)#crypto map cisco /---应用加密集---/

测试：

Show crypto isakmp policy /---显示IKE第一阶段的默认参数和设置参数---/

Show crypto isakmp sa /---显示第一阶段是否协商成功---/

Show crypto isakmp sa /---显示第二阶段是否协商成功及通信情况---/