锐捷配置IPSEC VPN静态隧道

1、实验拓扑

---

2、实验目的

---

1. 学习使用IPSEC VPN静态隧道，掌握IPSEC VPN静态隧道配置

3、实验配置

---

第一步：配置接口地址和静态路由使得R1、R2能够ping通

R1

Ruijie >enable

Ruijie #configure terminal

Ruijie(config)#interface gigabitEthernet 0/0

Ruijie(config-if-GigabitEthernet 0/0)#ip address 192.168.3.1 24

Ruijie(config-if-GigabitEthernet 0/0)#exit

Ruijie(config)#interface gigabitEthernet 0/1

Ruijie(config-if-GigabitEthernet 0/1)#ip address 192.168.1.1 24

Ruijie(config-if-GigabitEthernet 0/1)#exit

Ruijie(config)#ip route 192.168.2.0 255.255.255.0 192.168.3.2

R2

Ruijie >enable

Ruijie #configure terminal

Ruijie(config)#interface gigabitEthernet 0/0

Ruijie(config-if-GigabitEthernet 0/0)#ip address 192.168.3.2 24

Ruijie(config-if-GigabitEthernet 0/0)#exit

Ruijie(config)#interface gigabitEthernet 0/1

Ruijie(config-if-GigabitEthernet 0/1)#ip address 192.168.2.1 24

Ruijie(config-if-GigabitEthernet 0/1)#exit

Ruijie(config)#ip route 192.168.1.0 255.255.255.0 192.168.3.1

第二步：配置静态IPSEC VPN隧道

R1

1、配置ipsec感兴趣流

Ruijie(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255     //指定感兴趣流为源地址192.168.1.0/24，目的地址为192.168.2.0/24的网段。

2、配置isakmp策略

Ruijie(config)#crypto isakmp keepalive 5 periodic      //配置IPSEC DPD探测功能

Ruijie(config)#crypto isakmp policy 1                 //创建新的isakmp策略

Ruijie(isakmp-policy)#authentication pre-share       //指定认证方式为“预共享密码”

Ruijie(isakmp-policy)#encryption 3des                //指定使用3DES进行加密

Ruijie(isakmp-policy)#exit

3、配置预共享密钥

Ruijie(config)#crypto isakmp key 0 ruijie address 192.168.3.2    //指定peer 192.168.3.2的预共享密钥为“ruijie”，对端也必须配置一致的密钥。

4、配置ipsec加密转换集

Ruijie(config)#crypto ipsec transform-set myset  esp-des esp-md5-hmac   //指定ipsec使用esp封装des加密、MD5检验

Ruijie(cfg-crypto-trans)#exit

5、配置ipsec加密图

Ruijie(config)#crypto map mymap 5 ipsec-isakmp              //新建名称为“mymap”的加密图

Ruijie(config-crypto-map)#set peer 192.168.3.2              //指定peer地址

Ruijie(config-crypto-map)#set transform-set myset           //指定加密转换集“myset”

Ruijie(config-crypto-map)#match address 101                //指定感兴趣流为ACL 101

Ruijie(config-crypto-map)#exit

6、将加密图应用到接口

Ruijie(config)#interface gigabitEthernet 0/0

Ruijie(config-if-GigabitEthernet 0/0)#crypto map mymap

R2

1、配置ipsec感兴趣流

Ruijie(config)# access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

2、配置isakmp策略

Ruijie(config)#crypto isakmp keepalive 5 periodic

Ruijie(config)#crypto isakmp policy 1

Ruijie(isakmp-policy)#authentication pre-share

Ruijie(isakmp-policy)#encryption 3des

Ruijie(isakmp-policy)#exit

3、配置预共享密钥

Ruijie(config)#crypto isakmp key 0 ruijie address 192.168.3.1

4、配置ipsec加密转换集

Ruijie(config)#crypto ipsec transform-set myset  esp-des esp-md5-hmac

Ruijie(cfg-crypto-trans)#exit

5、配置ipsec加密图

Ruijie(config)#crypto map mymap 5 ipsec-isakmp

Ruijie(config-crypto-map)#set peer 192.168.3.1

Ruijie(config-crypto-map)#set transform-set myset

Ruijie(config-crypto-map)#match address 101

Ruijie(config-crypto-map)#exit

6、将加密图应用到接口

Ruijie(config)#interface gigabitEthernet 0/0

Ruijie(config-if-GigabitEthernet 0/0)#crypto map mymap

4、实验验证

---

1、在R1上使用源ip：192.168.1.1 ping R2的ip：192.168.2.1

2、在R1上查看isakmp、ipsec sa是否已经协商成功

3、在R1上查看ipsec sa 协商情况