如圖所示:
站點1 和站點 2 兩邊都是內部網絡,在沒有作ipsec *** 以前兩端的pc機 是沒有辦法直接通訊的,他們只能經過在路由器上使用NAT 裝換以後訪問外部資源,在使用ipsec 以後兩端內網就能夠徹底透明的互相訪問,可是不會使用NAT裝換(在路由器上,ASA上能夠使用NAT豁免)。
在實現ipsec *** 以前,須要外部網絡連同,如圖即在r1上能夠ping 通r3 而且兩臺pc 都須要有網關
R1上:
保證和r3連同:
ip route 0.0.0.0 0.0.0.0 10.0.0.2
IKE階段1:
R1(config)# crypto isakmp policy 10
(控制鏈接策略)
R1(config-isakmp)# encr aes
(用於身份驗證的數據包採用的加密算法: aes)
R1(config-isakmp)#hash sha 使用sha (加密管理鏈接)
R1(config-isakmp)# authentication pre-share (採用密鑰共享)
crypto isakmp key 6 123.com address 20.0.0.2 定義密碼123.com 對端地址爲20.0.0.2
IKE階段2:
R1(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 172.16.2.0 0.0.0.255
定義acl 用於過濾出須要通過ipsec 隧道的數據
R1(config)# crypto ipsec transform-set aa esp-aes esp-sha-hmac
定義傳輸集 定義數據鏈接的加密esp-aes和認證esp-sha-hmac 方式
R1(config)# crypto map aaa 1 ipsec-isakmp (定義加密圖)
R1(config-crypto-map)# set peer 20.0.0.2
(指定隧道對端ip地址)
R1(config-crypto-map)# set transform-set aa (指定數據使用的傳輸集)
R1(config-crypto-map)# match address 101 (匹配acl)
R3上的配置和R1上的相對應:
保證和r1連同:
ip route 0.0.0.0 0.0.0.0 20.0.0.1
IKE階段1:
R1(config)# crypto isakmp policy 10
(控制鏈接策略)
R1(config-isakmp)# encr aes
(用於身份驗證的數據包採用的加密算法: aes)
R1(config-isakmp)#hash sha 使用sha (加密管理鏈接)
R1(config-isakmp)# authentication pre-share (採用密鑰共享)
crypto isakmp key 6 123.com address 10.0.0.1 定義密碼123.com 對端地址爲10.0.0.1
IKE階段2:
R1(config)# access-list 101 permit ip 172.16.2.0 0.0.0.255 192.168.1.0 0.0.0.255
定義acl 用於過濾出須要通過ipsec 隧道的數據
R1(config)# crypto ipsec transform-set aa esp-aes esp-sha-hmac
定義傳輸集 定義數據鏈接的加密esp-aes和認證esp-sha-hmac 方式
R1(config)# crypto map aaa 1 ipsec-isakmp (定義加密圖)
R1(config-crypto-map)# set peer 10.0.0.1
(指定隧道對端ip地址)
R1(config-crypto-map)# set transform-set aa (指定數據使用的傳輸集)
R1(config-crypto-map)# match address 101 (匹配acl)
驗證
在pc1 ip地址爲192.168.1.2 上ping pc 2 ip地址爲172.16.2.2
同時在R1上能夠看見創建了鏈接隧道: