思科cisoc 路由器IKEv2使用map配置隧道
2024-07-06 11:02:04
环境拓扑图
R1配置
接口配置
R1#conf terminal
R1(config)#interface ethernet 1/0
R1(config-if)#ip address 172.16.1.193 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface ethernet 1/1
R1(config-if)#no shutdown
R1(config-if)#ip address 30.1.1.2 255.255.255.0
R1(config-if)#exitIPSec配置
# ike密钥配置
R1(config)#crypto ikev2 keyring ike_key # 生成ike密钥名称
R1(config-ikev2-keyring)#peer 20.1.1.1 # 对端IP
R1(config-ikev2-keyring-peer)#address 20.1.1.1 # 添加对端IP
R1(config-ikev2-keyring-peer)#pre-shared-key 123456 # 配置预共享密钥
R1(config-ikev2-keyring-peer)#exit
R1(config-ikev2-keyring)#exit
# IKEv2一阶段配置
R1(config)#crypto ikev2 profile ike_pro # 生成ike概要名称
R1(config-ikev2-profile)#match identity remote address 20.1.1.1 255.255.255.255 # 配置对端ike IP地址
R1(config-ikev2-profile)#authentication remote pre-share # 设置对端认证方式为预共享密钥
R1(config-ikev2-profile)#authentication local pre-share # 设置本端认证方式为预共享密钥
R1(config-ikev2-profile)#keyring local ike_key # 关联预共享密钥配置
R1(config-ikev2-profile)#exit
# IKEv2二阶段配置
R1(config)#crypto ipsec transform-set ipsec_tra esp-aes esp-sha-hmac # 添加二阶段名称为ipsec_tra,并添加算法
R1(cfg-crypto-trans)#mode tunnel # 使用隧道模式协商
R1(cfg-crypto-trans)#exit
# map配置
R1(config)#crypto map map_ipsec 10 ipsec-isakmp # 添加map,进入配置
R1(config-crypto-map)#set transform-set ipsec_tra # 关联ike二阶段
R1(config-crypto-map)#set ikev2-profile ike_pro # 关联ike一阶段
R1(config-crypto-map)#match address 100 # 匹配要加密的感兴趣流
R1(config-crypto-map)#exit
# 添加感兴趣流
R1(config)#access-list 100 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
# 接口关联map
R1(config)#interface ethernet 1/1
R1(config-if)#crypto map map_ipsec
R1(config-if)#exit路由配置
R1(config)#ip route 10.1.1.0 255.255.255.0 30.1.1.1
R1(config)#ip route 20.1.1.0 255.255.255.0 30.1.1.1R2配置
接口配置
R2#configure terminal
R2(config-if)#no shutdown
R2(config-if)#ip address 30.1.1.1 255.255.255.0
R2(config-if)#exit
R2(config)#interface ethernet 1/0
R2(config-if)#no shutdown
R2(config-if)#ip address 20.1.1.2 255.255.255.0
R2(config-if)#exitR3配置
接口配置
R3#configure terminal
R3(config)#interface ethernet 1/0
R3(config-if)#no shutdown
R3(config-if)#ip address 20.1.1.1 255.255.255.0
R3(config-if)#exit
R3(config)#interface ethernet 1/1
R3(config-if)#no shutdown
R3(config-if)#ip address 10.1.1.2 255.255.255.0
R3(config-if)#exitIPSec配置
# ike密钥配置
R3(config)#crypto ikev2 keyring ike_key # 生成ike密钥名称
R3(config-ikev2-keyring)#peer 30.1.1.2 # 对端IP
R3(config-ikev2-keyring-peer)#address 30.1.1.2 # 添加对端IP
R3(config-ikev2-keyring-peer)#pre-shared-key 123456 # 配置预共享密钥
R3(config-ikev2-keyring-peer)#exit
R3(config-ikev2-keyring)#exit
# IKEv2一阶段配置
R3(config)#crypto ikev2 profile ike_pro # 生成ike概要名称
R3(config-ikev2-profile)#match identity remote address 30.1.1.2 255.255.255.255 # 配置对端ike IP地址
R3(config-ikev2-profile)#authentication remote pre-share # 设置对端认证方式为预共享密钥
R3(config-ikev2-profile)#authentication local pre-share # 设置本端认证方式为预共享密钥
R3(config-ikev2-profile)#keyring local ike_key # 关联预共享密钥配置
R3(config-ikev2-profile)#exit
# IKEv2二阶段配置
R3(config)#crypto ipsec transform-set ipsec_tra esp-aes esp-sha-hmac # 添加二阶段名称为ipsec_tra,并添加算法
R3(cfg-crypto-trans)#mode tunnel # 使用隧道模式协商
R3(cfg-crypto-trans)#exit
# map配置
R3(config)#crypto map map_ipsec 10 ipsec-isakmp # 添加map,进入配置
R3(config-crypto-map)#set transform-set ipsec_tra # 关联ike二阶段
R3(config-crypto-map)#set ikev2-profile ike_pro # 关联ike一阶段
R3(config-crypto-map)#match address 100 # 匹配要加密的感兴趣流
R3(config-crypto-map)#exit
# 添加感兴趣流
R3(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
# 接口关联map
R3(config)#interface ethernet 1/0
R3(config-if)#crypto map map_ipsec
R3(config-if)#exit路由配置
R3(config)#ip route 30.1.1.0 255.255.255.0 20.1.1.2
R3(config)#ip route 172.16.1.0 255.255.255.0 20.1.1.2
R3(config)#endR4配置
接口配置
R4#configure terminal
R4(config)#interface ethernet 1/1
R4(config-if)#no shutdown
R4(config-if)#ip address 10.1.1.1 255.255.255.0
R4(config-if)#exit路由配置
R4(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2
R4(config)#end调试命令
- 查看ikev2协商过程
- debug crypto ikev2
- 查看IPSec转发过程
- debug crypto ipsec
- 查看IPSec配置
- show running-config | section crypto
- 查看IKEv2 sa
- show crypto IKEv2 SA
- 查看IPSec sa
- show crypto ipsec sa
- 查看IKEv2统计数据
- show crypto ikev2 start
- 查看map 信息
- show crypto map
思科cisoc 路由器IKEv2使用map配置隧道相关推荐
- 思科cisoc 路由器IKEv2配置ipsec tunnel口隧道
环境拓扑图 R1配置 接口配置 R1#configure terminal R1(config)#interface ethernet 1/0 R1(config-if)#no shutdown R1 ...
- 【Cisco(思科)路由器RIP动态路由配置】大学校园规划
目录 一.实验目的 二.实验背景 三.实验设备 四.实验步骤1.路由器串口的添加 2.实验拓扑图如下 3.设置五个网段 4.设置PC机的IP地址 5.配置路由器R1如下 7.配置路由器R3如下 8.测 ...
- 【Cisco(思科)路由器RIP动态路由配置】科技公司内部网络规划
目录 一.实验目的 二.实验背景 三.实验设备 四.实验步骤 1.路由器串口的添加 2.实验拓扑图如下 3.设置五个网段 4.设置PC机及Server的IP地址 5.配置路由器R1如下 6.配置路由器 ...
- 思科模拟器 --- 路由器RIP动态路由配置
学习目标:掌握RIP动态路由的配置方法 1.动态路由的特点 ①RIP是应用较早.使用较普遍的IGP内部网管协议,使用于小型同类网络,是距离矢量协议. ②RIP协议跳数作为衡量路径开销的,RIP协议里规 ...
- 华为策略路由加等价路由_思科华为路由器如何利用route-map配置双wan口策略路由...
wan1:218.85.224.100 wan2:219.85.224.200 内网 : 192.168.201.x 和192.168.202.x走wan1 192.168.203.x走wan2 其他 ...
- 思科华为路由器如何利用route-map配置双wan口策略路由
wan1:218.85.224.100 wan2:219.85.224.200 内网 : 192.168.201.x 和192.168.202.x走wan1 192.168.203.x走wan2 其他 ...
- 如何备份思科cisco路由器配置
如何备份思科cisco路由器配置文件 本资料之提供大家参考学习^*^ 有什么不懂的地方在博客中留言 QQ:569535658 发布时间:2009-4-08 15 ...
- 思科cisco路由器动态路由协议配置方法
思科cisco路由器动态路由协议配置方法 配置IGRP动态路由协议 IGRP是EIGRP协议的前身,虽然现在基本被EIGRP协议所取代,但在一些特殊场合我们仍然会用到该动态路由协议.他的使用配置和EI ...
- 思科交换机路由器 连接配置步骤
我讲CCNA大多使用模拟软件Packet Tracer和GNS3.大家学会了如何在模拟软件下配置思科路由器和交换机,但是在工作中如何使用计算机连接路由器和交换机进行配置,依然是没有概念,当我们买回一台 ...
- cisco配置主机计算机连接,思科交换机路由器 连接配置步骤
我讲CCNA大多使用模拟软件Packet Tracer和GNS3.大家学会了如何在模拟软件下配置思科路由器和交换机,但是在工作中如何使用计算机连接路由器和交换机进行配置,依然是没有概念,当我们买回一台 ...
最新文章
- Tesla Model汽车架构与FSD供应链
- module ‘tensorflow‘ has no attribute ‘Tensor‘
- 从涂鸦到发布 —— 理解API的设计过程
- 找出得分最高的无重复子段
- APT的源列表--sources.list
- 【docker】kubernetes集群一键部署包
- Inception V1-V4
- Unity3D 渲染管线全流程解析
- Servlet容器与Web容器详解
- 软件测试项目实战,适合大家练习的实战项目有。
- 右手定则判断向量积的方向
- ESP分区和MSR分区下怎么重做GHOST系统
- Jib快速打包Docker镜像
- AOSP、AOKP、CM的区别
- 手机怎么设置企业邮箱的服务器,如何在手机上设置网易企业邮箱
- QT软件版本更改步骤
- 微服务-分布式锁(二)-Redis方案
- uniapp原生sdk插件极光短信·极光短信插件可快速对接收发短信·官方伙伴优雅草发布
- 使用约会应用Tinder时没人关注你?花钱就能插队露脸半小时
- 具有中国风的传统颜色(炫酷)
热门文章
- linear regreesion 线性回归
- 彩色图像--色彩空间 CMY(K)空间
- org.springframework.beans.factory.NoSuchBeanDefinitionException: No matching bean of type [org.hiber
- 健康低辐射,信号全覆盖,飞鱼星i-Home覆盖方案上市
- 怎么做照片拼图?这些方法值得收藏
- 成为会带团队的技术人 跨团队:没有汇报线的人和事就是推不动?
- 香港恒生银行App下载
- [HNOI2007] 紧急疏散EVACUATE
- leetcode13——罗马数字转整数(简单,0)
- matlab gui双音拨号,用matlab GUI功能模拟DTMF拨号系统.doc