使用Cisco路由器配置IPsec之端到端***

一. 网络拓扑

二. 部署各网络设备ip地址

(略) R1和R3需配静态路由

三. 部署***
R1：
R1(config)#crypto isakmp enable
R1(config)#crypto isakmp policy 1 // policy 1表示策略1
R1(config-isakmp)#hash md5
R1(config-isakmp)#authentication pre-share //使用预先共享的密码
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#group 1 //表示密钥使用768位密钥,另一种group 2表示密钥使用1024位密钥
R1(config-isakmp)#lifetime 10000 //声明SA的生存时间为10000，超过后SA将重新协商
R1(config-isakmp)#exit
R1(config)#access-list 101 permit ip any any //访问控制列表
R1(config)#crypto isakmp key 1234 address 172.16.2.2 //确定要使用的预先共享密钥且指出目的路由器ip地址
R1(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac //定义ipsce参数
R1(config)#crypto map sxs 10 ipsec-isakmp //定义生成新的map为sxs，10为优先级，越小优先级越高
R1(config-crypto-map)#set peer 172.16.2.2 //标识对方路由器的合法IP地址
R1(config-crypto-map)#set transform-set cisco //标识用于这个连接的传输设置
R1(config-crypto-map)#match address 101 //标识访问控制列表
R1(config-crypto-map)#exit
R1(config)#int s1/0
R1(config-if)#crypto map sxs //应用到该接口
R1(config-if)#exit
R1(config)#exit

R3：
R3(config)#crypto isakmp enable
R3(config)#crypto isakmp policy 1
R3(config-isakmp)#hash md5
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#group 1
R3(config-isakmp)#lifetime 10000
R3(config-isakmp)#exit
R3(config)#access-list 101 permit ip any any
R3(config)#crypto isakmp key 1234 address 172.16.1.1
R3(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac
R3(config)#crypto map sxs 10 ipsec-isakmp
R3(config-crypto-map)#set peer 172.16.1.1
R3(config-crypto-map)#set transform-set cisco
R3(config-crypto-map)#match address 101
R3(config-crypto-map)#exit
R3(config)#int s1/1
R3(config-if)#crypto map sxs
R3(config)#exit
R3#

相关验证结果的查看命令
显示ISAKMP协商策略的结果
R1#sh crypto isakmp policy

查看管理连接SA的状态
R1#sh crypto isakmp sa

显示IPSEC变换集
R1#sh crypto ipsec transform-set

显示数据数据连接SA的细节信息
R1#sh crypto ipsec sa

显示Crypto Map的信息
R1#sh crypto map

四.验证实验：
R1#ping 172.16.1.2 ping不通，R3#ping 172.16.2.1 ping不通，因为流量都从***走了

而R1#ping 172.16.2.2可以ping通，R3#ping 172.16.1.1可以ping通

这是为什么？前面说了，因为流量都从×××隧道通过了。这样的拓扑就会导致原来两个分公司，可以上外网，但是之间建立IPsec之后，就只能分公司进行通讯，而无法与外网通讯了

前面有个小坑，那就是access-list 101 permit ip any any 也就是所有流量都从×××走，实际应用中可别这样哦，把这个改为指定ip或地址段即可

转载于:https://blog.51cto.com/11010174/2057643