IPSec 之 Server2003&Cisco路由器(3)

一、Cisco路由器配置

1、设定加密的数据，实验设定所有IP流量

access-list 100 permit ip any any

2、设定ISAKMP策略，策略设定参数参考Server 2003中的IKE设定参数，查看通过“Cisco属性”，点击“高级”查看。

crypto isakmp policy 1

encr 3des

hash md5

authentication pre-share

group 2

lifetime 28800

3、配置IKE协商身份验证的预共享密钥

crypto isakmp key cisco address 192.168.100.200

4、设置IPSec 转换集，参数参考Server 2003中的设定，模式为传输模式

crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac

mode transport

5、设定crypto map关联以上设定

crypto map server03 1 ipsec-isakmp

set peer 192.168.100.200

set transform-set ESP-3DES-SHA1

match address 100

5、将crypto map应用到端口

interface Ethernet0/0

ip address 192.168.100.2 255.255.255.0

half-duplex

crypto map server03

至此，实验配置完成！

二、验证

1、 互ping，成功。

2、 查看server 2003中，管理控制台“IP安全监视器”，“活动策略”、“主模式”以及“快速模式”中相关内容及参数。

3、 R1上进行一下验证：

R1#show crypto isakmp sa

dst src state conn-id slot status

192.168.100.2 192.168.100.200 QM_IDLE 1 0 ACTIVE

R1#show crypto ipsec sa

interface: Ethernet0/0

Crypto map tag: server03, local addr 192.168.100.2

protected vrf: (none)

local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

current_peer 192.168.100.200 port 500

PERMIT, flags={origin_is_acl,}

四、实验成功！