标签:表示 The 优先级 映射 perm isa 协议 索引 连接
IPSec建立连接的过程配置过程
一、配置IPSec打通隧道
1、首先需要内网有一条通往ISP的默认路由
ip route 0.0.0.0 0.0.0.0 202.2.2.2
注释:202.2.2.2模拟ISP地址
2、配置ISAKMP策略
crypto isakmp policy 1
注释:1为策略序列号,取值范围是1~10000,值越小,优先级越高
encryption 3des
hash sha
authentication pre-share
group 5
注释:5为DH密钥组号,取值为1、2、5、6
lifetime 10000
注释:lifetime为管理连接生存时间,单位是秒(s)
crypto isakmp 0 password-key address 101.1.1.1
注释:该命令为建立共享密钥;0表示密钥使用明文,如果取值6表示密文;101.1.1.1为对端的外网口地址
3、配置IPSec保护的数据流(感兴趣的数据流)
access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255
注释:源IP地址为本地局域网的地址,目标为对端的局域网地址;定义ACL是为了明确这些数据流会通过隧道技术转发。
4、定义传输集
crypto ipsec transform-set kaifabu-set esp-des ah-sha-hmac
注释:kaifabu-set为该传输集的名称,后面跟上传输集选项(esp-des、ah-sha-hmac)
mode tunnel
exit
crypto ipsec security-association lifetime seconds 1800
注释:输入exit是为退回到全局模式,可在该模式下设置数据连接的生存周期
5、配置加密映射
crypto map kaifabu-map 1 ipsec-isakmp
注释:1为加密映射的序列号,取值1~65535,值越小,优先级越高
set peer 101.1.1.1
注释:101.1.1.1为对端外网口地址
set transform-set kaifabu-set
注释:在加密映射中调用kaifabu-set这个传输集
match address 100
注释:100前面定义的ACL100,这里是为了调用该ACL
6、应用加密映射到外网口
interface f0/0
crypto map kaifabu-map
二、配置PAT连接到Internet
access-list 101 deny 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 101 permit 192.168.1.0 0.0.0.255 any
注释:ACL配置要拒绝掉IPSec保护的数据流,使该数据流不进行PAT的转换,然后再允许内网地址通往所有的网段实现上网。
ip nat inside source list 101 interface f0/0 overload
interface f0/0
ip nat outside
interface f0/1
ip nat inside
标签:表示 The 优先级 映射 perm isa 协议 索引 连接
原文地址:http://blog.51cto.com/13434336/2129287
