需求:总公司和分支公司没有申请专用的数据专线情况下,利用互联网专线建立安全的VPN隧道,让分支公司内网192.168.2.0/24网段可以通过互联网安全的访问总公司的服务器提供的业务,数据在互联网传输的时候需要提供安全的加密技术和认证技术,确保数据传输的安全性.
前提条件处理路由:
加密点必须能PING同对方加密点,还必须知道去往对端通信点路由出接口是自己的加密点接口;,通信点必须知道去往另外一端通信点的路由从自己的加密点路由器出去
R1出口路由器配置:(分支公司R2出口路由器配置思路和R1配置思路相同)
第一步:定义VPN感兴趣流量,就是从哪去哪才执行加密行为
Access-list 100 per ip host 192.168.1.1 host 192.168.2.1
第二步,定义密钥盒子:定义预共享密钥认证,希望23.1.1.3这个加密点送过来一个密码,是KKK
r1(config)#crypto keyring key-hezi
r1(conf-keyring)#pre-shared-key address 23.1.1.3 key kkk
第三步,定义认证盒子:定义一个小盒子,里面把上面预定义密钥认证策略放进来,同时说明对谁认证
r1(config)#crypto isakmp profile rz-hezi
r1(conf-isa-prof)#keyring key-hezi
r1(conf-isa-prof)#match identity address 23.1.1.3
收到23.1.1.3的ipsec-vpn请求,要对她进行认证,认证方法是采用key-hezi里面的策略进行
第四步:定义IPSEC第一阶段认证策略,加入相同的一个组,共享组中相同的P和G参数,运行DH算法,互相交换各自公钥,生成相同父密钥,这个相同父密钥产生三个子密钥;
r1(config)#cry isakmp policy 10
r1(config-isakmp)#group 2
r1(config-isakmp)#hash md5
r1(config-isakmp)#encryption des
r1(config-isakmp)#authentication pre-share
第五步:配置第二阶段策略:
对于用户真正数据流量传输采用ESP头部封装方式,采用DES加密,采用MD5+暗号哈希
r1(config)#cry ipsec transform-set aaa esp-des esp-md5-hmac
第六步:定义一个接口盒子:里面把以前定义的策略放进来
crypto map jiekou-hezi 10 ipsec-isakmp
set peer 23.1.1.3 //对于谁发起IPSEC协商通道
set transform-set aaa //把第二阶段策略放进来
set isakmp-profile rz-hezi //把rz-heizi放进来
match address 100 //VPN感兴趣流量,从哪去哪加密
第七步:连接外网的接口调用接口盒子:
r1(config)#int f0/0
r1(config-if)#crypto map jiekou-hezi
exit
