案例一
一、网络拓扑:
二、网络环境说明
Cisco 881路由器: wan:200.200.200.200 255.255.255.0
lan1:192.168.6.1 255.255.255.0
爱快路由:270版本
Wan1:100.100.100.100 255.255.255.0
Lan1:192.168.100.1 255.255.255.0
需求效果:
两端子网192.168.6.0与192.168.100.0网段通过ipsec VPN实现互通
三、配置说明
1、Cisco881路由
Building configuration...
Current configuration : 2286 bytes
Last configuration change at 16:00:49 GMT Wed Feb 8 2017
version 15.2
crypto isakmp policy 10 定义密钥的属性对应爱快IKE提议
encr 3des 配置在建立连接时协商IKE使用的加密算法
hash md5 配置在建立连接时协商IKE使用的三列算法
authentication pre-share 用预共享密钥PSK俩认证对等体是否合法
lifetime 10800 存活时间对应爱快IKE存活时间
crypto isakmp key sanshi address 100.100.100.100 配置预共享密钥参数和对端地址
crypto ipsec transform-set myset esp-3des esp-md5-hmac
mode tunnel 配置ipsec传输集名称和参数 对应爱快ESP算法设置
crypto map mymap 10 ipsec-isakmp
set peer 100.100.100.100
set transform-set myset
调用ipsec transform为之前设置的myset传输集
match address ipsec 设置感兴趣流为匹配名为ipsec的acl
interface FastEthernet4
description gw:200.200.200.1
ip address 200.200.200.200 255.255.255.0
ip nat outside
crypto map mymap 将ipsec应用到该接口
interface Vlan1
ip address 192.168.6.1 255.255.255.0
ip nat inside
ip virtual-reassembly in:Cisco交换机本身的内网网段设置。
ip nat inside source list 110 interface FastEthernet4 overloa
access-list 110 deny ip 192.168.6.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 110 permit ip 192.168.6.0 0.0.0.255 any
ACL里面192.168.6.0 0.0.0.255 192.168.100.0 0.0.0.255 不做nat转发。其他数据流量做nat转发
ip route 0.0.0.0 0.0.0.0 FastEthernet4 183.62.16.1
ip access-list extended ipsec
permit ip 192.168.6.0 0.0.0.255 192.168.100.0 0.0.0.255
配置匹配的感兴趣流。定义需要进行加密走VPN隧道的流量定
end
2、爱快路由设置
特别鸣谢:博瑞捷网络提供环境与信息。
案例二
1、思科路由的页面配置
2、爱快路由里面的配置
注意:
1、本地标识,可以为空
2、思科路由的“phase1 DH Group”,要选择Group2,对应爱快里面的IKE提议的“MODP1024”
3、加密算法、认证算法一定要一致,可以一端选择,一端自动协商。
(但是一定要选择两端都支持的方式,建议查看下,确认后选择)
