IPsec ×××路由器配置:ISAKMP策略
- 对于初学者,IOS可交换地在配置模型和EXEC模型中使用ISAKMP和IKE。记住IKE是一个支持ISAKMP的协议——ISAKMP是规则,IKE执行规则。
- IKE监听500端口,使用UDP来协商发送和接收报文。如果你在×××路由器前部署了一个防火墙,或者你正在尝试建立一个穿越防火墙的IPsec客户端连接,这就可能出现问题。而且除非你使用UDP的500端口,否则传统的IKE将不能正常工作。
- IKE不像Network Address Translation (NAT)。当两个IPsec节点之间使用NAT时,基于IP地址绑定的预共享密钥认证将无法工作。NAT转换修改了源地址和目标地址,结果会造成密钥与发送或接收主机的不匹配。在大多数基于有状态的防火墙使用的Port Address Translation (PAT)也会破坏IPsec连接。然而,IOS的后续版本将使用IPsec Nat透明及Cisco 通道控制协议 (cTCP)解决IPsec和NAT/PAT之间的操作问题。这两种解决方案都在IKE协商阶段中使用。NAT透明在IKE第一阶段增加了一个NAT发现阶段原件以及在第二阶段增加了一个NAT穿越工具。操作上,IPsec NAT透明将IKE移到UDP端口4500,而且在需要时将IPsec数据包封装到UDP帧中。
outlan-rt02(config)#crypto isakmp enable outlan-rt02(config)# Oct 13 15:09:27 EST: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON outlan-rt02(config)# |
outlan-rt02(config)#crypto isakmp policy 10 |
outlan-rt02(config-isakmp)#encryption 3des |
outlan-rt02(config-isakmp)#hash sha |
outlan-rt02(config-isakmp)#group 2 |
outlan-rt02(config-isakmp)#lifetime 300 |
outlan-rt02(config-isakmp)#authentication pre-share We are done with our ISAKMP configuration. Here is what our policy statement looks like: crypto isakmp policy 10 encr 3des hash sha lifetime 300 authentication pre-share group 2 ! crypto isakmp keepalive 20 5 crypto isakmp nat keepalive 30 |
outlan-rt04#config t Enter configuration commands, one per line. End with CNTL/Z. outlan-rt04(config)#crypto isakmp policy 1000 outlan-rt04(config-isakmp)# encr 3des outlan-rt04(config-isakmp)# hash md5 outlan-rt04(config-isakmp)# authentication pre-share outlan-rt04(config-isakmp)# group 2 outlan-rt04(config-isakmp)#exit outlan-rt04(config)# |
outlan-rt04(config)#crypto isakmp client configuration group outlan-ras outlan-rt04(config-isakmp-group)# key outlan-ras outlan-rt04(config-isakmp-group)# dns 172.30.40.2 outlan-rt04(config-isakmp-group)# domain outlan-ras.net outlan-rt04(config-isakmp-group)# pool outlan-ras outlan-rt04(config-isakmp-group)# acl outlan-ras-networks outlan-rt04(config-isakmp-group)#exit outlan-rt04(config)# crypto isakmp client configuration group outlan-ras |
outlan-rt04(config)#ip local pool outlan-ras 172.30.99.10 172.30.99.100 The final step is the client access policy ACL: outlan-rt04(config)#ip access-list extended outlan-ras-networks outlan-rt04(config-ext-nacl)# permit ip 172.30.40.0 0.0.0.255 172.30.99.0 0.0.0.255 |
outlan-rt04(config)#crypto ctcp port 443 80 10000 |
! crypto isakmp policy 1000 encr 3des hash md5 authentication pre-share group 2 crypto isakmp keepalive 20 5 crypto isakmp nat keepalive 30 ! crypto isakmp client configuration group outlan-ras key outlan-ras dns 172.30.40.2 domain outlan-ras.net pool outlan-ras acl outlan-ras-networks ! crypto ctcp port 443 80 10000 ! ip local pool outlan-ras 172.30.99.10 172.30.99.100 ! ip access-list extended outlan-ras-networks permit ip 172.30.40.0 0.0.0.255 172.30.99.0 0.0.0.255 |
转载于:https://blog.51cto.com/hongguang/199451
IPsec ×××路由器配置:ISAKMP策略相关推荐
- 思科IPSec的配置
IPSec建立连接的过程 一.对等体建立连接大体分为: 1.流量触发:IPSec建立连接是首先是由对等体直接的数据流触发的.我们通过配置这些IPSec保护的数据流,可以明确哪些数据流会触发IPSec建 ...
- cisco 模拟器安装及交换机的基本配置实验心得_软考网络工程师级配置题总结 | 交换机配置、路由器配置、广域网接入配置、L2TP配置、IPSec配置、PIX防火墙配置...
软考网络工程师级配置题总结 一. 交换机配置 1. 交换机的基本配置 Enable 进入特权模式 Config terminal 进入配置模式 Enable password cisco 设置enab ...
- 华为路由器 IPSec VPN 配置
需求: 通过 IPSecVPN 实现上海与成都内网互通 拓扑图如下: 一.首先完成网络配置 1.R1 路由器设置 <Huawei>sys [Huawei]sys R1 [R1]un in ...
- Cisco思科路由器配置IPsec,建立Site to Site项目实例
项目背景: 最近做的一个项目中需要总公司和分公司之间内网互通: 总公司内网段:192.168.0.0/16 分公司内网段:172.16.0.0/16 考虑到专线的成本问题,最后公司决定使用IPsec. ...
- 新书《路由器配置与管理完全手册——Cisco篇》目录抢鲜暴光
经过对几千名读者的调查,经与出版社协商,原计划的<Cisco/H3C路由器配置与管理完全手册>一书,决定拆分成两本,分别是<路由器配置与管理完全手册--Cisco篇>和< ...
- IPsec ***路由配置
今天我为大家简单介绍一下实验内容. 通过下面的拓扑图我想大家一定非常疑惑,疑惑我为什么会在两个内网中间搭建画出一个红色的通道线.这也是我今天实验的重点及目的.首先就是如何确保局域网外之间的信息交流是安 ...
- 如何备份思科cisco路由器配置
如何备份思科cisco路由器配置文件 本资料之提供大家参考学习^*^ 有什么不懂的地方在博客中留言 QQ:569535658 发布时间:2009-4-08 15 ...
- 《Cisco路由器配置与管理完全手册》(第二版)前言和目录
史上最具人气.最受好评的网络设备图书领域"四大金刚"的全新升级版本再现江湖了,他们分别是:<Cisco交换机配置与管理完全手册>(第二版).<H3C交换机配置与管 ...
- 华为设备IPsec简单配置
IPsec VPN 一.IPsec是什么? 1.1 定义 1.2 封装模式(传输模式.隧道模式) 1.3 安全协议(AH.ESP) 1.4 秘钥交换协议(IKE) 二.IPsec有什么用? 2.1 通 ...
最新文章
- form 表单提交,防止重复提交,加token
- Machine Learning week 3 quiz : Logistic Regression
- Exchange server 2013(十二)IRM故障排除
- Algorithms学习笔记-Chapter0序言
- Windows平台下Go语言的安装和环境变量设置
- springcloud 入门 4 (rebbon源码解读)
- 1.4.2 真正的建造者模式(3.2)
- mongodb聚合内存不足解决方案
- java之Calendar类
- [线筛五连]线筛欧拉函数
- Ubuntu录制gif图
- C++--数字转大写金额
- ip地址分类和子网掩码
- Pytorch实现性别识别,男女分类
- Django程序的发布
- JSONObject.parseObject()
- 利用tldr工具再也不怕记不住Linux命令
- 最新美团代付源码+支持多模板/多支付通道/全开源
- 浏览器代理服务的另一选择——pac配置
- ORA-01033:ORACLE initialization or shutdown in progress Process ID:0 Session ID:0 Serial number:0
热门文章
- vue.js中scoped
- mysql基本语句实验二 修改表的结构-- 1、修改数据库-- 修改实验一中创建的学生管理数据库studentmanager的字符集为gbk。
- 破茧成蝶—从简历初投被拒到收割5个offer,我花了3个月时间...
- ZOJ 2833 Friendship
- 企业即时通讯软件哪个比较好用?
- matlab绘制棒棒糖,MATLAB
- vscode 插件摘抄
- 如何让你的窗口置顶成为最靓的仔(Windows10)
- 为什么1除以2=0余数1?余数就是它本身 1呢?
- 准时化生产方式的技术(zt)