ipsec配置关键步骤（IPSec配置实例）

在尝试配置MPLSVPN之后失败，我还是决定使用IPSEC，一方面是感觉MPLS配置起来没有参考，另一方面也发现IPsec功能性安全性也胜过MPLS-VPN，从网上找到一个对比图，放在下面。

在毕业设计的基础上，进行配置。拓扑图如下：

网段配置：

核心路由器：与外网相连f 1/0：201.1.1.1/24；与内网相连：192.168.0.0/16

sub路由器：与外网相连g 0/0：201.4.4.2/24；与内网相连：192.168.4.0/24

一、配置IPSec打通隧道

首先在核心路由器上配置通道命令如下：

//配置ISAKMP策略 Router(config)#crypto isakmp policy 10//10为策略序列号（本地有效），取值范围是1~10000，值越小，优先级越高 Router(config-isakmp)#authentication pre-share //验证方式为预共享密钥 Router(config-isakmp)#encryption aes //加密算法为aes Router(config-isakmp)#hash sha//完整性校验算法为sha Router(config-isakmp)#group 5//5为DH密钥组号，取值为1、2、5、6 Router(config-isakmp)#exit Router(config)#crypto isakmp key 0 address 201.4.4.2 //配置Key 0表示密钥使用明文，如果取值6表示密文， address 为对端的外网口地址 //定义传输集 Router(config)#crypto ipsec transform-set pass1 esp-aes esp-sha-hmac//pass1为该传输集的名称，后面跟上传输集选项esp-des、ah-sha-hmac（ esp（加密头部） 加密方式为aes 完整性校验为sha） //配置IPSec保护的数据流(ACL) Router(config)#ip access-list extended xianlu1//定义一个扩展的ACL，命名为xianlu1 Router(config-ext-nACL)#permit ip 192.168.0.0 0.0.255.255 172.16.4.0 0.0.0.255//源IP地址为本地局域网的地址，目标为对端的局域网地址；定义ACL是为了明确这些数据流会通过隧道技术转发 //配置加密映射 Router(config-crypto-map)#crypto map ser1 10 ipsec-isakmp //定义一个map（名为ser1）10为加密映射的序列号，取值1~65535，值越小，优先级越高 Router(config-crypto-map)#set transform-set pass1//关联第二阶段的策略，在加密映射中调用pass1这个传输集 Router(config-crypto-map)#set peer 201.4.4.2 //对端外网口地址 Router(config-crypto-map)#match address xianlu1 //调用ACL--xinalu1 Router(config-crypto-map)#ex //应用加密映射到外网口 Router(config)#int f 1/0//应用加密映射到外网口 Router(config-if)#crypto map ser1 *Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

*****************======================********************

在另一台1941中配置发现

Router(config)#crypto isakmp enable ^ % Invalid input detected at '^' marker.

解决办法，命令license boot module c1900 technology-package securityk9

Router(config)# license boot module c1900 technology-package securityk9//启用安全技术包 ACCEPT? [yes/no]: yes//接受最终用户许可协议 Router#copy running-config startup-config//保存运行配置 Destination filename [startup-config]? Building configuration... [OK] Router#reload//重新加载路由器以启用安全许可证 Proceed with reload? [confirm] ########################################################################## [OK] Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#crypto isakmp enable//问题解决！ Router(config)#

*****************======================********************

核心路由器：与外网相连f 1/0：201.1.1.1/24；与内网相连：192.168.0.0/16

sub路由器：与外网相连g 0/0：201.4.4.2/24；与内网相连：192.168.4.0/24

在另一台sub路由器1941中配置相同的IPSEC命令如下：

第一阶段（除了策略的序号外可以不同外，其他的验证要和对端一致） SH(config)#crypto isakmp policy 20 //使用20，只是为了验证序号本地有效。也可以使用10 SH(config-isakmp)#authentication pre-share SH(config-isakmp)#encryption aes SH(config-isakmp)#hash sha SH(config-isakmp)#group 5 SH(config-isakmp)#exit SH(config)#crypto isakmp key 0 address 201.1.1.1 第二阶段 SH(config)#crypto ipsec transform-set pass2 esp-aes esp-sha-hmac //验证类型要与对端一致 SH(cfg-crypto-trans)#exit SH(config)#ip access-list extended xianlu1 //定义ACL SH(config-ext-nacl)#permit ip 172.16.4.0 0.0.0.255 192.168.0.0 0.0.255.255 SH(config)#crypto map ser1 10 ipsec-isakmp //名称本地有效 SH(config-crypto-map)#set transform-set pass2 //关联本地的第二阶段策略 SH(config-crypto-map)#set peer 201.1.1.1 SH(config-crypto-map)#match address xianlu1 SH(config-crypto-map)#exit SH(config)#int g0/0 SH(config-if)#crypto map ser1 //应用

出来Sub地级园区网之外，还需要将配货园区网连接到核心路由器

配货中心路由器：与外网相连g 0/0：201.3.3.7/24；与内网相连：10.0.0.0/8

在核心路由器添加新命令如下

Router(config)#crypto isakmp key 0 address 201.3.3.7 Router(config)#crypto ipsec transform-set pass2 esp-aes esp-sha-hmac Router(config)#ip access-list extended xianlu2 Router(config-ext-nacl)#permit ip 192.168.0.0 0.0.255.255 10.0.0.0 0.255.255.255 Router(config-ext-nacl)#ex Router(config)#crypto map ser2 10 ipsec-isakmp % NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured. Router(config-crypto-map)#set transform-set pass2 Router(config-crypto-map)#set peer 201.3.3.7 Router(config-crypto-map)#match address xianlu2 Router(config-crypto-map)#ex Router(config)#int f 1/0 Router(config-if)#crypto map ser2 *Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

在配货中心路由器上配置参考Sub核心路由器，命令如下：

Router(config)#crypto isakmp enable Router(config)#crypto isakmp policy 20 Router(config-isakmp)#authentication pre-share Router(config-isakmp)#encryption aes Router(config-isakmp)#hash sha Router(config-isakmp)#group 5 Router(config-isakmp)#ex Router(config)#crypto isakmp key 0 address 201.1.1.1 Router(config)#crypto ipsec transform-set pass2 esp-aes esp-sha-hmac Router(config)#ip access-list extended xianlu2 Router(config-ext-nacl)#permit ip 10.0.0.0 0.255.255.255 192.168.0.0 0.0.255.255 Router(config-ext-nacl)#ex Router(config)#crypto map ser2 10 ipsec-isakmp % NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured. Router(config-crypto-map)#set transform-set pass2 Router(config-crypto-map)#set peer 201.1.1.1 Router(config-crypto-map)#match address xianlu2 Router(config-crypto-map)#ex Router(config)#int g0/0 Router(config-if)#crypto map ser2 *Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

配置完成后测试如下：

,