Cisco router is configured with the Site to site VPN
配置加密策略
- crypto isakmp policy 1 ## 配置策略,序号为1
- encr 3des ## 加密算法为3des
- hash sha ## 完整性校验算法为sha
- authentication pre-share ## 验证方式为预共享密钥
- group 2 ## DH组为2
- lifetime 28800 ## 配置lifetime
- crypto isakmp key ad23xj1 address 1.1.1.2 ## 配置Key 加密,如果Key为0,则表示不加密, address 为对端加密地址
- crypto isakmp key ad23xj1 address 1.1.1.3 ## 配置Key 加密,如果Key为0,则表示不加密, address 为对端加密地址
- crypto isakmp keepalive 10 3 ## 配置每10秒发送一次报文,超过3秒没响应则急需发送。
-
定义一个扩展的ACL
- ip access-list extended s2s_vpn_traffic` ## 定义一个扩展的ACL
- permit ip 1.2.9.0 0.0.0.255 any ## 定义一个扩展的ACL
-
- crypto ipsec transform-set s2s esp-3des esp-sha-hmac ## 配置第二阶段策略,命名为s2s; esp(加密头部) 加密方式为3des完整性校验为sha
- mode tunnel ## 配置传输通道为隧道模式
-
定义map
- crypto map s2s 50 ipsec-isakmp ## 定义一个map
- set peer 1.1.1.2 ## 指定对端地址
- set peer 1.1.1.3 ## 指定对端地址
- set security-association lifetime seconds 28800
- set transform-set s2s ## 关联第二阶段的策略
- set pfs group2 ## 配置密钥完美向前保护,与第一阶段的DF group
- match address s2s_vpn_traffic ## 关联ACL
-
在端口下应用map
- interface GigabitEthernet0/0 ## 进入interface port
- crypto map s2s ## 使用map
-
配置动态NAT转换地址
- ip nat inside source list s2s_vpn_traffic interface GigabitEthernet0/0 overload ## 启用内部源地址转换的动态NAT
-
router2 对比router 1配置即可。
湘公网安备 43102202000103号
