计算机教程网

您现在的位置是:首页 > 路由器教程 > 无线路由器

无线路由器

艾泰与cisco做IPSEC VPN

2024-07-14 18:44:38无线路由器
一、Cisco(RouteB)配置 1.CiscoACL配置(主要是为哪些流量做IPSec时引用) router(config)#access-list110permitIP192.168.11.00.0.0.255192.168.100.00.0.0.255 router(config)#access-list110permitIP192.168.100.00.0.0.255192.168.11.00.0.0.255 2.第


一、 Cisco(Route B)配置

1. Cisco ACL配置(主要是为哪些流量做IPSec时引用)

router(config)# access-list 110 permit IP 192.168.11.0 0.0.0.255 192.168.100.0 0.0.0.255

router(config)# access-list 110 permit IP 192.168.100.0 0.0.0.255 192.168.11.0 0.0.0.255

2. 第一阶段IKE的配置

i. 使用与共享密钥进行身份验证,与共享密钥为cisco1122

ii. 加密算法:des

iii. 认证算法:md5

iv. DH组:group2

v. 第一阶段SA有效期 28800秒

router(config)# crypto isakmp enable          #启用IKE(默认是启动的)

router(config)# crypto isakmp policy 100      #建立IKE策略,优先级为100

router(config-isakmp)# authentication pre-share     #使用预共享的密码进行身份验证

router(config-isakmp)# encryption des       #使用des加密方式

router(config-isakmp)# group 2       #指定密钥位数,group 2安全性更高,但更耗cpu

router(config-isakmp)# hash md5        #指定hash算法为MD5(其他方式:sha,rsa)

router(config-isakmp)# lifetime 28880   #指定SA有效期时间。默认86400秒,两端要一致

router(config)# crypto isakmp key cisco1122 address 192.168.0.124 #配置预共享密钥(cisco要指定对方地址)

3. IPSec第二阶段配置

i. 配置IPSec交换集:实际就是定义第二阶段的加密认证算法,后续引用

加密算法:des;认证算法:md5;封装协议:ESP

router(config)# crypto ipsec transform-set abc esp-des  esp-md5-hmac 

配置IPSec交换集            abc这个名字可以随便取,两端的名字也可不一样,但其他参数要一致。

 

ii. 配置IPSec 加密图:实际上就是标识对方的身份,哪些流量做IPSec,第二阶段SA生存期以及将上述交换集引用

router(config)# crypto map mymap 100 ipsec-isakmp     #创建加密图mymap 可自定义名称

router(config-crypto-map)# match address 110    #用ACL来定义加密的通信

router(config-crypto-map)# set peer 192.168.0.124    #标识对方路由器IP地址

router(config-crypto-map)# set transform-set abc   #指定加密图使用的IPSEC交换集

router(config-crypto-map)# set security-association lifetime 86400 #指定第二阶段SA生存期

4. 将加密图应用到接口上

router(config)# interface ethernet0/1 #进入WAN口

router(config-if)# crypto map mamap #将加密图应用到该接口

5. 配置NO NAT :保证在访问IPSec对端网络192.168.11.0/24时不启用NAT,走IPSec隧道

router(config)#nat (inside) 0 access-list 110

6. 注意在Cisco上不要启用PFS

二、UTT 2512(Router A)配置