Cisco思科路由器配置IPsec,建立Site to Site项目实例
项目背景:
最近做的一个项目中需要总公司和分公司之间内网互通;
总公司内网段:192.168.0.0/16
分公司内网段:172.16.0.0/16
考虑到专线的成本问题,最后公司决定使用IPsec。
简化网络拓扑:
配置:
1. 配置各路由器端口IP地址,使相邻路由器相互ping通
R1:
R1(config)#int e0/0
R1(config-if)#ip address 12.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#int e0/1
R1(config-if)#ip address 13.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exitR2:
R2(config)#int e0/0
R2(config-if)#ip address 12.1.1.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#int e0/1
R2(config-if)#ip address 192.168.2.1 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#int loopback0
R2(config-if)#ip address 192.168.1.1 255.255.255.0
R2(config-if)#exitR3:
R3(config)#int e0/0
R3(config-if)#ip address 13.1.1.3 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#int e0/1
R3(config-if)#ip address 172.16.2.1 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#int loopback0
R3(config-if)#ip address 172.16.1.1 255.255.255.0
R3(config-if)#exitR4:
R4(config)#int e0/0
R4(config-if)#ip address 192.168.2.2 255.255.255.0
R4(config-if)#no shutdown
R4(config-if)#exitR5:
R5(config)#int e0/0
R5(config-if)#ip address 172.16.2.2 255.255.255.0
R5(config-if)#no shutdown
R5(config-if)#exit2. 在R2、R3之间配置IPsec VPN,在环回接口之间建立连接
R2:
//配置感兴趣流,使Site1内网的流量能够通过该路由器到Site2
R2(config)#access-list 100 permit ip 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255
R2(config)#crypto isakmp policy 10 //配置加密策略
R2(config-isakmp)#encryption 3des
R2(config-isakmp)#hash md5
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#group 2
R2(config-isakmp)#crypto isakmp key 6 cisco123 address 13.1.1.3 //密钥为cisco123,13.1.1.3为对端连接ISP的外网IP地址
R2(config)#crypto ipsec transform-set xxx esp-3des esp-md5-hmac
R2(cfg-crypto-trans)#mode tunnel //site-to-site使用tunnel模式
R2(cfg-crypto-trans)#crypto map linktosite 10 ipsec-isakmp% NOTE: This new crypto map will remain disabled until a peerand a valid access list have been configured.
R2(config-crypto-map)#set transform-set xxx
R2(config-crypto-map)#set peer 13.1.1.3 //对等体IP
R2(config-crypto-map)#match address 100 //匹配的感兴趣流为ACL 100
R2(config-crypto-map)#int e0/0 //将设置好的加密图应用到接口e0/0上
R2(config-if)#crypto map linktosite*Mar 1 00:12:00.439: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R2(config-if)#exit
R2(config)ip route 0.0.0.0 0.0.0.0 12.1.1.1 //该路由器的所有流量下一跳为12.1.1.1R3:
//配置感兴趣流,使Site2内网的流量能够通过该路由器到Site1
R3(config)#access-list 100 permit ip 172.16.0.0 0.0.255.255 192.168.0.0 0.0.255.255
R3(config)#crypto isakmp policy 10 //配置加密策略
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#hash md5
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#group 2
R3(config-isakmp)#crypto isakmp key 6 cisco123 address 12.1.1.2 //密钥为cisco123,13.1.1.3为对端连接ISP的外网IP地址
R3(config)#crypto ipsec transform-set xxx esp-3des esp-md5-hmac
R3(cfg-crypto-trans)#mode tunnel //site-to-site使用tunnel模式
R3(cfg-crypto-trans)#crypto map linktosite 10 ipsec-isakmp% NOTE: This new crypto map will remain disabled until a peerand a valid access list have been configured.
R3(config-crypto-map)#set transform-set xxx
R3(config-crypto-map)#set peer 12.1.1.2 //对等体IP
R3(config-crypto-map)#match address 100 //匹配的感兴趣流为ACL 100
R3(config-crypto-map)#int e0/0 //将设置好的加密图应用到接口e0/0上
R3(config-if)#crypto map linktosite*Mar 1 00:12:00.439: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R3(config-if)#exit
R3(config)ip route 0.0.0.0 0.0.0.0 13.1.1.1 //该路由器的所有流量下一跳为13.1.1.1
至此IPsec配置完成,我们来用环回地址相互ping一下试试:
IPsec的建立需要流量的触发,如果ping不通,多试一次,对端也相互ping一下。
但是你以为就配置完了吗?哈哈哈,这时我们在R3上ping192.168.2.2发现是不通的,接下来我们继续。
3. Site1、Site2分别配置OSPF路由协议
Site1:
R2:
R2(config)#router ospf 1
R2(config-router)#router-id 2.2.2.2
R2(config-router)#network 192.168.1.0 0.0.0.255 area 0
R2(config-router)#network 192.168.2.0 0.0.0.255 area 0
R2(config-router)#exitR4:
R4(config)#router ospf 1
R4(config-router)#router-id 4.4.4.4
R4(config-router)#network 192.168.2.0 0.0.0.255 area 0
R4(config-router)#exit
R4(config)#ip route 172.16.0.0 255.255.0.0 192.168.1.1 //所有到172.16.0.0网段的流量下一跳为192.168.1.1Site2:
R3:
R3(config)#router ospf 1
R3(config-router)#router-id 3.3.3.3
R3(config-router)#network 172.16.1.0 0.0.0.255 area 0
R3(config-router)#network 172.16.2.0 0.0.0.255 area 0
R3(config-router)#exitR5:
R3(config)#router ospf 1
R3(config-router)#router-id 5.5.5.5
R3(config-router)#network 172.16.2.0 0.0.0.255 area 0
R5(config-router)#exit
R5(config)#ip route 192.168.0.0 255.255.0.0 172.16.1.1 //所有到192.168.0.0网段的流量下一跳为172.16.1.1
我们在R4上ping R5内网试试:
测试成功。
后记:
在配置IPsec时我的体会:一定要清楚流量的流向,源IP和目标IP,发现ping不通时,多检查路由表,想清楚下一跳的关系。
为什么使用环回接口配置IPsec呢?
因为环回接口有物理接口不具备的稳定性呀。
参考资料:
IPSec 理论知识:https://blog.csdn.net/bingyu9875/article/details/61614797
配置命令:https://blog.csdn.net/mizong/article/details/89341039?depth_1-utm_source=distribute.pc_relevant.none-task&utm_source=distribute.pc_relevant.none-task
本文原创,转载请注明出处
Cisco思科路由器配置IPsec,建立Site to Site项目实例相关推荐
- Cisco思科路由器配置OSPF认证的简单例子
需求: 两台路由器之间配置OSPF认证,只有通过认证才能建立OSPF邻居关系. 实验拓扑: 配置: 1. 配置各端口的IP地址 R1: R1(config)#int loopback1 R1(conf ...
- Cisco思科路由器配置虚拟链路的简单例子
实验拓扑: 需求分析: 在R1/R2/R3/R4之间配置OSPF协议,分别建立Area0/Area1/Area2,Area0为骨干区域.建立区域后发现R4无法ping通R1,此时建立一条虚拟链路来解决 ...
- 万众期待的《Cisco/H3C路由器配置与管理完全手册》开锣了
自<Cisco/H3C交换机配置与管理完全手册>一书上市以来,得到许多热心网友和读者的支持与关注.虽然也有不少反对的声音,但听到最多的还是许多读者的真正肯定与对在书中提到的下一本图 ...
- 路由删除命令_清除思科路由器配置信息的两种方法
对于网络设备来说,清除思科路由器配置信息是防止黑客轻松地连接访问公司网络的最佳方法.在对Cisco路由器进行清理时,有两种不同的方法可供选择,而它们通常用于不同的方面: 一.知道路由器的密码,相关步骤 ...
- 思科 接入点 本地转发_思科路由器配置 IPv6 和 OSPFv3 路由
一.前言 IPv6 最近是越来越火了,是时候该学习下 IPv6 路由的配置了. 本文将介绍思科路由器 IPv6 地址以及路由协议的配置方法. 本文纯属个人学习经验,希望可以帮到刚入门网络的新手,老司机 ...
- 思科三层交换机开启ipv6路由功能_思科路由器配置 IPv6 和 OSPFv3 路由
一.前言 IPv6 最近是越来越火了,是时候该学习下 IPv6 路由的配置了. 本文将介绍思科路由器 IPv6 地址以及路由协议的配置方法. 本文纯属个人学习经验,希望可以帮到刚入门网络的新手,老司机 ...
- Cisco思科路由器做DHCP中继的简单例子
需求: 三层交换机作为DHCP服务器,路由器作为DHCP中继,PC通过DHCP中继获取IP地址 实验拓扑: 配置步骤: 1. 配置路由器和三层交换机端口IP地址 Router6: R6#conf t ...
- Cisco思科路由器HSRP配置和排障那些事儿~~
首先亮出必备命令来: 配置HSRP的成员: Router(config-if)#standby 备份组号 ip 备份组虚拟IP地址 配置HSRP优先级: Router(config-if)#stand ...
- 思科路由器与windows建立L2L ipsec×××
1.拓扑: 2.基本配置: A.R1: interface FastEthernet0/0 ip address 202.100.1.1 255.255.255.0 no shut interfa ...
最新文章
- 支持向量机:Numerical Optimization
- Error loading MySQLdb module: No module named MySQLdb
- 计组-中央处理器小结
- 使用JXL组件操作Excel和导出文件
- 前端知识点总结---面试专用
- a5d27 emmc启动 修改1
- 网管,请别随意关闭默认共享
- (49)FPGA线性单驱动(wire型)
- Linux工作笔记029---Centos7.3 服务器下查看tomcat服务是否启动,重启,查看错误日志等基本操作
- java笔试之计算n x m的棋盘格子
- 【leetcode学习笔记】leecode是什么?
- C/C++二维数组的传参方法总结
- PowerDesign
- 联想计算机BIOS启动顺序boot,联想电脑BIOS启动项如何设置U盘启动_联想电脑BIOS启动项设置U盘启动教程介绍...
- 高仙机器人四十万能级生产基地项目开工仪式在四川资阳举行
- 2074:【21CSPJ普及组】分糖果(candy)
- 关于含税单价和不含税单价的关系记录
- 【京东】商品评价数据采集+买家评论数据+卖家评论数据采集+行业数据分析+行业数据质检分析
- iOS表格,Sheets.framework
- JS 流行库(五):Swiper