在配置中特别需要注意如下事宜:
1、 配置完成或者更改以后,用clear crypto sa命令来使IPSec和IKE的配置生效。
2、 需要有默认路由。
注:为什么需要默认路由?
准确的说,是需要到对端内网的路由(192.168.2.0/24)。原因是路由器在处理数据流的时候,是先路由,然
后经过访问列表过滤、NAT、IPSec等模块。因此,如果没有到对端内网的路由,报文在被IPSec模块处理
之前就会被路由器丢掉。如果报文到达了IPSec模块,IPSec模块发现需要对其进行加密,IPSec就会对其
加密并新封装一个IP头(新的IP头源地址是接口地址,目的地址对端网关地址,在本案例中源地址是
1.1.1.1,目的地址是2.2.2.1),然后重新路由,重新经过访问列表过滤、NAT、IPSec等模块。
1 配置接口地址 loopback地址 配置路由
site1:
ip route 1.1.1.0 255.255.255.0 10.1.1.10
ip route 61.128.1.1 255.255.255.255 202.100.1.10
ip route 2.2.2.0 255.255.255.0 202.100.1.10
insider:
ip route 2.2.2.0 255.255.255.0 10.1.1.1
VPN configuration:
2.全局启用ISAKMP并定义对等体及其PSK(预共享密钥):
Site1(config)#crypto isakmp enable
#HUB1(config)#crypto isakmp key 91lab address 0.0.0.0 0.0.0.0
3.定义IKE策略:
R1(config)#crypto isakmp policy 1 建立IKE协商策略
Site1(config-isakmap)encryption 3des
R1(config-isakmap)# hash md5 设置密钥验证所用的算法
R1(config-isakmap)# authentication pre-share 设置路由要使用的预先共享的密钥
Site1(config-isakmap)group 2
R1(config)#crypto isakmp key 123 address 192.168.1.2 设置共享密钥和对端地址 123是密钥,仅用于认证
R2(config)#crypto isakmp policy 1
R2(config-isakmap)# hash md5
R2(config-isakmap)# authentication pre-share
R2(config)# crypto isakmp key 123 address 192.168.1.1
查询第一阶段策略配置结果
show crypto isakmp policy
配置IKE第二阶段:
1.定义感兴趣流量与路由协议:(通信点间的流量)
Site1(config)#ip access-list extended vpn
Site1(config)#permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
4.定义IPSec转换集(transform set):
R1(config)# crypto ipsec transform-set cfanhome esp-md5-hmac esp-des
转换具体数据的策略 配置传输模式以及验证的算法和加密的的算法 cfanhome这里是给这个传输模式取个名字 封装用esp, 加密用des,完整性用md5
5.定义crypto map并应用在接口上:
R1(config)# crypto map cfanhomemap 1 ipsec-isakmp 采用IKE协商,优先级为1 这里的cfanhomemap是一个表的名字
R1(config-crypto-map)#set peer 61.128.1.1 指定VPN链路对端的IP地址
R1(config-crypto-map)# set transform-set cfanhome 指定先前所定义的传输模式
R1(config-crypto-map)# match address vpn 指定使用的反问控制列表 这里的MATCH是匹配的意思
将crypto map应用到接口
R1(config)# int fa0/1
R1(config-if)# crypto map cfanhomemap 应用此表到端口
SPOKE配置完成.
查询
查看ISAKMP SA状态
show crypto isakmp sa
show crypto isakmp sa detail
show crypto ipsec sa
show crypto session