安装部暑

以Cisco路由器端配置IPSEC隧道为例

前置条件

固定外网IP： 1.202.249.162
路由内网IP： 10.88.0.1

第一阶段配置

crypto isakmp enable                        #启用iek协商

crypto isakmp policy 1                      #创建IEK协商，数字小则优

authentication pre-share                    #规定使用预共享秘钥PSK来认证对等体是否合法

hash sha/md5                                #配置在建立连接时协商IKE使用的散列算法，两种均可,但选择其中一种，对端也要一致

encryption DES/3DES/AES                     #配置在建立连接时协商IEK使用的加密算法，要和对端一致

group 2                                     #选择group 2

lifetime 86400                              #管理连接的生存周期

crypto isakmp key zxkm4ykdVH4jyXiy address 210.212.167.9         #配置对等体认证PSK

crypto isakmp key zxkm4ykdVH4jyXiy address 210.212.167.10        #要配置多点ipsec，在这里继续加

第二阶段配置

crypto ipsec transform-set ubox-set esp-aes esp-md5-hmac        #配置ipsec参数，协商通过ipsec隧道的数据的安全参数,注意安全协议和验证方式要和对端一致

mode tunnel                                                     #模式选择

#配置ACL（访问控制列表），定义需要保护的数据流
access-list 100 permit ip 10.88.0.0 0.0.255.255 192.168.0.0 0.0.255.255
access-list 101 permit ip 10.88.0.0 0.0.255.255 172.16.0.0 0.0.255.255

#配置IPsec策略
crypto map ubox-map 1 ipsec-isakmp
set peer 210.212.167.9
set transform-set ubox-set
set pfs group2
match address 100

#多点IPsec可继续加
crypto map ubox-map 1 ipsec-isakmp
set peer 210.212.167.10
set transform-set ubox-set
set pfs group2
match address 101

#外网接口应用ipsec策略
interface GigabitEthernet0/0
crypto map ubox-map

配置路由

ip route 0.0.0.0 0.0.0.0 1.202.249.161
ip route 10.88.0.0 255.255.0.0 10.88.0.2

配置ACL，隧道流量不经过NAT

ip nat inside source list 110 interface GigabitEthernet0/0 overload
access-list 110 deny   ip 10.88.0.0 0.0.255.255 192.168.0.0 0.0.255.255
access-list 110 permit ip 10.88.0.0 0.0.255.255 any