IPSec ×××--->site-to-site ×××的配置-白红宇

IPSec ×××--->site-to-site ×××的配置

阅读量：6690 次

发布时间：2019-06-25

本文共 2816 字，大约阅读时间需要 9 分钟。

IPSec ×××--->site-to-site ×××的配置：

site-to-site×××不支持1.5阶段

R2(config)# crypto isakmp policy 1 -------->创建isakmp策略集1,1是策略集的编号，编号自定义(只具备本地意义)，默认首

先发送编号最小的和对方协商

定义对等体认证的方式，加密的算法（共享密钥），赫尔曼算法的版本，哈希算法的方式及生命周期：

R2(config-isakmp)# encryption 3des ----------------->定义对共享密钥的加密方式

R2(config-isakmp)# authentication pre-share----------------->对等体认证方式采用共享密钥

R2(config-isakmp)# hash sha ----------------->完整性校验和采用sha

R2(config-isakmp)# group 5 ----------------->定义赫尔曼算法的版本，采用版本5

R2(config-isakmp)# lifetime 12800----------------->定义生命周期（默认为86400秒）

R2(config)# crypto isakmp key 0 cisco address 100.1.1.6------->定义对等体100.1.1.6采用cisco共享密钥验证，0表示密码明文显

示，6表示密码密文显示

R2(config)# crypto ipsec transform-set T esp-3des-------------->创建ipsec交换集-----定义对数据加密的算法和数据完整性校验的

算法-------定义数据封装的模式（默认为隧道模式）

静态：

R2(config)# crypto map L2LMAP 1 ipsec-isakmp----------> 创建加密映射L2LMAP，L2LMAP为自定义的映射名字，将在接口中

调用，编号 1用来区分不同的第二阶段的对等体

R2(config-crypto-map)# set peer 100.1.1.6----------> 设置第二阶段对等体地址

R2(config-crypto-map)# set transform-set T----------> 调用第二阶段交换集

R2(config-crypto-map)# match address L2LACL ----------> 定义×××建立的触发流量，L2LACL将被创建---私有访问私有地址

R2(config)# ip access-list extended L2LACL

R2(config-ext-acl)# permit ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255

R2(config)# int e0/1----------> e0/1是连接互联网的接口

R2(config-if)# crypto map L2LMAP ----------> 将加密映射应用到接口-------连接的互联网的接口，即outside

基于ADSL的×××:-----动态

R2(config)# crypto isakmp policy 1 -------->创建isakmp策略集1,1是策略集的编号，编号自定义，默认首先发送编号最小的

和对方协商

定义对等体认证的方式，加密的算法（共享密钥），赫尔曼算法的版本，哈希算法的方式及生命周期：

R2(config-isakmp)# encryption 3des ----------------->定义对共享密钥的加密方式

R2(config-isakmp)# authentication pre-share----------------->对等体认证方式采用共享密钥

R2(config-isakmp)# hash sha ----------------->完整性校验和采用sha

R2(config-isakmp)# group 5 ----------------->定义赫尔曼算法的版本，采用版本5

R2(config-isakmp)# lifetime 12800----------------->定义生命周期（默认为86400秒）

R2(config)# crypto isakmp key 0 cisco address 0.0.0.0(不知道对方的地址)------->定义对等体100.1.1.6采用cisco共享密钥验

证，0表示密码明文显示，6表示密码密文显示

R2(config)# crypto dynamic-map DYMAP 1----------> 创建动态映射DYMAP，在动态map中调用触发流量交换集，由于对

等体是动态的，不需要set peer，对等体地址自动发现

R2(config-crypto-map)# set transform-set T

R2(config-crypto-map)# match address DYACL

R2(config)# ip access-list exteded DYACL

R2(config-ext-acl)# permit ip 192.168.1.0 0.0.0.255 192.168.7.0 0.0.0.255

R2(config)# crypto map L2LMAP 2 ipsec-isckmp dynamic DYMAP (discover)----------> 将静态映射和动态映射关联，其中

discover参数是默认的，可以加可以不加

×××调试命令：

show crypto isakmp policy ----->查看第一阶段的策略集

show crypto isakmp sa ------ >查看第一阶段安全关联

show crypto ipsec sa------ > 查看第二阶段的安全关联

show crypto isakmp key ------ >查看第一阶段的共享密钥

show crypto ipsec transform-set ------ > 查看第二阶段的交换集

show crypto map------ > 查看加密映射

clear crypto isakmp ------ >清除第一阶段安全关联

clear crypto sa ------ >清除第二阶段安全关联

debug crypto isakmp ( ?)

debug crypto ipsec ( ?)

转载于:https://blog.51cto.com/zjjaqiu/910420

你可能感兴趣的文章

小区WLAN无线网卡上面无信号，用测试软件搜不到信号处理办法

查看>>

saltstack管理四之pillar和grains

[Thinking in JAVA] 前N章的一些小知识

Android SDK Managerr开发工具包离线打包已下载4.1、4.0.3、4.0、2.3.3、1.6直接使用

查看>>

《Android开发从零开始》——32.单选复选控件学习

查看>>

Dell R730配置RAID及系统OS部署步骤

查看>>

Mysql数据库用source命令导入SQL文件

查看>>

一个误区（关于javascript的字符串拼接)

查看>>

【Linux】【备忘】用户相关的部分操作指令

查看>>