欢迎光临break工作室
利用IPSec ××× 实现简单多点相互通信
fen2(config-crypto-map)#set peer 101.1.1.1
fen2(config-crypto-map)#set tranfen2(config-crypto-map)#set transform-set aaafen2(config-crypto-map)#matfen2(config-crypto-map)#match addfen2(config-crypto-map)#match address 1211,多点ipsec *** 的实现思想
(1)引入
一个物理接口只能同时
生效一个Crypto map ,
为了解决这个问题,
只能从序列号研究。
(2)序列号
序列号的范围是1-65535 数值越小
该的映射优先级越高,
当同时配置了两个序列号1和2 的map 映射
路由器会先用1 去匹配流量,
如果不匹配,就会依次去看后面
优先级更低的映射,
1,总公司配置
zong(config)#int e0/0
zong(config-if)#ip add 192.168.1.100 255.255.255.0 # 接口的ip地址zong(config-if)#no shzong(config-if)#exzong(config)#int e0/1zong(config-if)#ip add 100.1.1.1 255.255.255.0 #接口的IP地址zong(config-if)#no shzong(config)#ip route 0.0.0.0 0.0.0.0 100.1.1.2 # 默认路由到ISP网络,实现和ISP通信!管理链接(策略)
zong(config)#crypto isakmp policy 10 #开启管理链接对象号为10
zong(config-isakmp)#encryption aes #加密zong(config-isakmp)#hash sha #采用hash 算法 zong(config-isakmp)#authentication pre-share # 认证zong(config-isakmp)#group 2 #组号 组好越高越安全 最高为5
预共享密钥
zong(config)#crypto isakmp key 0 break1 address 101.1.1.1 #对等体 分公司1
zong(config)#crypto isakmp key 0 break2 address 102.1.1.1 #对等体分公司2
流量触发zong(config)access-lis 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 #分1
zong(config)access-lis 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 # 分2
交换数据连接的传输集(两个分公司共用一个)
zong(config)#crypto ipsec transform-set aaa esp-aes esp-sha-hmac
zong(cfg-crypto-trans)#mode tunnel #传输模式为隧道模式
配置加密映射map(这里需要两个序列号map ,1为分公司1 ,2为分公司2 )
序列号一
zong(config)#crypto map bbb 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer # 正常信息 and a valid access list have been configured.zong(config-crypto-map)#set peer 101.1.1.1 #对等体地址zong(config-crypto-map)#set transform-set aaa ###数据连接zong(config-crypto-map)#match address 100 ##流量触发序列号2
zong(config)#crypto map bbb 2 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured.zong(config-crypto-map)#set peer 102.1.1.1zong(config-crypto-map)#set transform-set aaazong(config-crypto-map)#match address 101应用到接口
zong(config)#int e0/1
zong(config-if)#crypto map bbb,
2,模拟ISP网络(只需要配置IP地址)
ISP(config-if)#int e0/2
ISP(config-if)#ip add 101.1.1.2 255.255.255.0ISP(config-if)#no sh ISP(config-if)#int e0/1ISP(config-if)#ip add 102.1.1.2 255.255.255.0ISP(config-if)#no sh
ISP(config)#int e0/0
ISP(config-if)#ip add 100.1.1.2 255.255.255.0ISP(config-if)#no sh
3,分公司1配置
1接口IP地址
fen1(config)#int e0/0
fen1(config-if)#ip add 101.1.1.1 255.255.255.0fen1(config-if)#no shfen1(config)#int e0/1
fen1(config-if)#ip add 192.168.2.100 255.255.255.0fen1(config-if)#no shfen1(config)#ip route 0.0.0.0 0.0.0.0 101.1.1.2
2.管理链接(策略)
fen1(config)#crypto isakmp policy 10
fen1(config-isakmp)#encryption aesfen1(config-isakmp)#hash shafen1(config-isakmp)#authentication pre-sharefen1(config-isakmp)#group 2
3,流量触发
fen #access-list 110 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 #总公司
fen #access-list 110 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 #分2公司
4,预共享密钥(这里需要两个)
fen1(config)#crypto isakmp key 0 break1 address 100.1.1.1 #共享的密钥必须和总公司相同,
fen1(config)#crypto isakmp key 0 break3 address 102.1.1.1 ####分2 公司共享的密钥 !!!!!!
5.ipsec 变换集(分2,和总公司共用)
fen1(config)#crypto ipsec transform-set aaa esp-aes esp-sha-hmac
6,map 加密映射
总公司map
fen1(config)#crypto map bbb 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured.fen1(config-crypto-map)#set peer 100.1.1.1fen1(config-crypto-map)#set transform-set aaafen1(config-crypto-map)#match address 110分2公司map
fen1(config)#crypto map bbb 3 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured.fen1(config-crypto-map)#set peer 102.1.1.1fen1(config-crypto-map)#set transform-set aaafen1(config-crypto-map)#match address 111
7,map 应用到接口!fen1(config)#int e0/0
fen1(config-if)#cryfen1(config-if)#crypto map bbb
分2 公司配置
接口ip地址
fen2(config)#int e0/0
fen2(config-if)#ip add 102.1.1.1 255.255.255.0fen2(config-if)#no shfen2(config-if)#int e0/1fen2(config-if)#ip add 192.168.3.100 255.255.255.0fen2(config-if)#no shfen2(config)#ip route 0.0.0.0 0.0.0.0 102.1.1.2
流量触发fenconfig)#access-list 120 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255#总公司
fenconfig)#access-list 121 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 # 分1公司
管理连接(策略)
fen2(config)#crypto isakmp policy 10
fen2(config-isakmp)#encryption aesfen2(config-isakmp)#hash shafen2(config-isakmp)#authentication pre-sharefen2(config-isakmp)#group 2
共享密钥
fen2(config)#crypto isakmp key 0 break2 address 100.1.1.1 #这里的密钥必须和从公司相同 !
fen2(config)#crypto isakmp key 0 break3 address 101.1.1.1 #密钥必须和分1公司相同!
配置ipsec 变换集
fen2(config)#crypto ipsec transform-set aaa esp-aes esp-sha-hmac
ffen2(cfg-crypto-trans)#mode tunnel
配置加密映射(map)
建立总公司(map)
fen2(config)#crypto map bbb 2 ipsec-isakmp% NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured.fen2(config-crypto-map)#set peer 100.1.1.1fen2(config-crypto-map)#set transform-set aaafen2(config-crypto-map)#match address 120
建立分公司1(map)
fen2(config)#crypto map bbb 3 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured.fen2(config-crypto-map)#set peer 101.1.1.1fen2(config-crypto-map)#set transform-set aaafen2(config-crypto-map)#match address 121应用到接口
fen2(config)#int e0/0
fen2(config-if)#crypto map bbb
分别打开虚拟机进行测试
如下
博客上传日期: 2014年8月4日
作者:——新