2024年5月25日发(作者:)
VPN配置详解
全局启用ISAKMP并定义对等体及设置VPN流量:
1、开启isakmp协议
R1(config)#crypto isakmp enable /---默认开启---/
2、设置流经VPN隧道达到对方的流量
R1(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
IKE第一阶段
设置ISAKMP策略及其参数
R1(config)#crypto isakmp policy 10 /---设置IKE策略及优先级----/
R1(config-isakmp)#encryption Des /---默认是DES加密---/
3des
Aes
R1(config-isakmp)#hash sha /---默认是SHA-1---/
Md5
R1(config-isakmp)#authentication pre-share /---身份认证(预共享密钥)---/
Rsa-encr
Rsa-sig
R1(config-isakmp)#group 2 /---默认是768位的DH1---/
1
5
R1(config-isakmp)#lifetime 3600 /---默认是86400秒---/
R1(config-isakmp)#exit
设置密码及对端VPN IP
R1(config)#crypto isakmp key 91lab address 192.168.1.2
IKE第二阶段
设置转换集及参数
R1(config)#crypto ipsec transform-set tt esp-des esp-sha-hmac
ah-md5-hmac
ah-sha-hmac
comp-lzs
esp-aes
esp-des
esp-md5-hmac
esp-null
esp-seal
esp-sha-hmac
设置工作模式
R1(cfg-crypto-trans)#mode
transport
tunnel
R1(cfg-crypto-trans)#exit
设置加密图及其参数
R1(config)#crypto map cisco 10 ipsec-isakmp /---设置加密图及其生命周期---/
R1(config-crypto-map)#match address 100 /---匹配VPN流量ACL号---/
R1(config-crypto-map)#set peer 192.168.1.2 /---定义要应用crypto map的对
等地址---/
R1(config-crypto-map)#set transform-set tt /---匹配转化集名称---/
接口生效VPN策略
R1(config)#interface serial0/0
R1(config-if)#crypto map cisco /---应用加密集---/
测试:
Show crypto isakmp policy /---显示IKE第一阶段的默认参数和设置参数---/
Show crypto isakmp sa /---显示第一阶段是否协商成功---/
Show crypto isakmp sa /---显示第二阶段是否协商成功及通信情况---/
发布评论