举列:一公司和其分公司需要经常的数据交换,为了达到数据传输的安全性,保密性,采取了站点之间的VPN搭建,其技术是基于IPSEC的VPN 虽然在现实生活中用的并不多。
比如 总公司的出口路由是R1 ip=192.168.1.1 分公司的出口路由是R2 ip=192.168.10.1
2个路由上均配置了默认路由
R1# ip route 0.0.0.0 0.0.0.0 192.168.1.2 R2# ip route 0.0.0.0 0.0.0.0 192.168.10.2
以上步骤完成后,两个公司之间就可以正常通信了
下面开始VPN的配置 2个路由均为CISCO 3640系列
第一步 配置IKE协商
R1(config)#crypto isakmp policy 1 //建立IKE协商策略
R1(config-isakmap)# hash md5 //设置密钥验证所用的算法
R1(config-isakmap)# authentication pre-share //设置路由要使用的预先共享的密钥
R1(config)# crypto isakmp key 123 address 192.168.10.2 //设置共享密钥和对端地址 123是密钥
R2(config)#crypto isakmp policy 1
R2(config-isakmap)# hash md5
R2(config-isakmap)# authentication pre-share
R2(config)# crypto isakmp key 123 address 192.168.1.2
第二步 配置IPSEC相关参数
R1(config)# crypto ipsec transform-set vpn-set ah-md5-hmac esp-des // 配置传输模式以及验证的算法和加密的的算法 vpn-set这里是给这个传输模式取个名字
R1(config)# access-list 101 permit ip any any //我这里简单的写 但是大家做的时候可不能这样写
这里是定义访问控制列表
R2(config)# crypto ipsec transform-set vpn-set ah-md5-hmac esp-des //两边的传输模式的名字要一样
R2(config)# access-list 101 permit ip any any
第三步 应用配置到端口 假设2个端口都是s0/0
R1(config)# crypto map vpnmap 1 ipsec-isakmp //采用IKE协商,优先级为1 这里的cfanhomemap是一个表的名字
R1(config-crypto-map)# set peer 192.168.1.2 //指定VPN链路对端的IP地址
R1(config-crypto-map)# set transform-set vpn-set //指定先前所定义的传输模式
R1(config-crypto-map)# match address 101 //指定使用的反问控制列表 这里的MATCH是匹配的意思
R1(config)# int s0/0
R1(config-if)# crypto map vpnmap 应用此表到端口
R2和R1在最后的配置基本一样 这里就不一一写出来了
