IP SEC VPN实验笔记

目录

实验一 基础的site to site vpn 配置 ............................................................................ 2 实验二 ISAKMP Profile 方法配置site to site VPN ....................................................... 3 实验三 ROUTE VPN ........................................................................................................ 4 实验四 动态VS静态Crypto MAP ................................................................................ 5 实验五 IPSEC OVER GRE ................................................................................................ 6 实验六 GRE OVER IPSEC ................................................................................................ 7

实验一 基础的site to site vpn 配置

描述：R1和R3之间建立site to site VPN, 实现私网地址之间互通

(第一阶段)

crypto isakmp policy 10 encr 3des hash md5

authentication pre-share group 2

crypto isakmp key 0 cisco address 202.100.2.3

(第二阶段)

ip access-list extended vpn

permit ip host 1.1.1.1 host 2.2.2.2

crypto ipsec transform-set cisco esp-md5-hmac esp-3des

crypto map cisco 10 ipsec-isakmp set peer 202.100.2.3 set transform-set cisco match address vpn

接口调用

interface FastEthernet0/0 crypto map cisco end

测试(双方都互相配置好)

实验二 ISAKMP Profile 方法配置site to site VPN

（top和实验1一样，只是配置格式不一样）

描述：用于一个路由器和很多路由器建立多种类型的VPN

由于第一阶段中的crypto isakmp key cisco address 202.100.2.3是全局命令，当有多种VPN进来的时候可能会拿错策略，思路也不清晰。而且第一阶段和第二阶段没有联系。

(第一阶段)

crypto isakmp policy 10 authentication pre-share

crypto keyring isakey

pre-shared-key address 202.100.1.1 key cisco

crypto isakmp profile isaprof keyring isakey

match identity address 202.100.1.1 255.255.255.255

(第二阶段)

crypto ipsec transform-set cisco esp-3des esp-md5-hmac !

crypto map cisco 10 ipsec-isakmp set peer 202.100.1.1 set transform-set cisco set isakmp-profile isaprof match address vpn

接口调用

interface FastEthernet0/0 crypto map cisco end 测试

实验三 ROUTE VPN

(推荐，一个主流的VPN技术) (使用ipsec profile) (Static Virtual Tunnel Interface --- SVTI虚拟隧道接口 )

优点：创建tunnel接口，可以互相学习路由，数据加密，有点类似GRE OVER IPSEC，但是配置少，简单。

第一阶段

crypto isakmp policy 10 authentication pre-share

crypto isakmp key cisco address 202.100.2.3

第二阶段

crypto ipsec transform-set cisco esp-3des esp-md5-hmac

crypto ipsec profile ipsecprof set transform-set cisco

interface Tunnel0

ip address 123.1.1.1 255.255.255.0 tunnel source 202.100.1.1 tunnel destination 202.100.2.3 tunnel mode ipsec ipv4

tunnel protection ipsec profile ipsecprof

router ospf 110

network 1.1.1.1 0.0.0.0 area 0 network 123.1.1.1 0.0.0.0 area 0

看下OSPF邻居

看看学到的路由

测试一下

实验四 动态VS静态Crypto MAP

适用 中心有固定IP但是分支没有固定的IP地址的情况 分支还是基础配置 中心配置如下

第一阶段

crypto isakmp policy 10 authentication pre-share

crypto isakmp key cisco address 0.0.0.0 0.0.0.0

第二阶段

crypto ipsec transform-set cisco esp-3des esp-md5-hmac

crypto dynamic-map dymap 10 set transform-set cisco

crypto map cisco 1000 ipsec-isakmp dynamic dymap

interface FastEthernet0/0 crypto map cisco

测试一下(注意，这个必须由对端先发起)