在尝试配置MPLSVPN之后失败,我还是决定使用IPSec,一方面是感觉MPLS配置起来没有参考,另一方面也发现IPsec功能性安全性也胜过MPLS-VPN,从网上找到一个对比图,放在下面。
在毕业设计的基础上,进行配置。拓扑图如下:
网段配置:
核心路由器:与外网相连f 1/0:201.1.1.1/24;与内网相连:192.168.0.0/16
sub路由器:与外网相连g 0/0:201.4.4.2/24;与内网相连:192.168.4.0/24
一、配置IPSec打通隧道
首先在核心路由器上配置通道命令如下:
//配置ISAKMP策略
Router(config)#crypto isakmp policy 10//10为策略序列号(本地有效),取值范围是1~10000,值越小,优先级越高
Router(config-isakmp)#authentication pre-share //验证方式为预共享密钥
Router(config-isakmp)#encryption aes //加密算法为aes
Router(config-isakmp)#hash sha//完整性校验算法为sha
Router(config-isakmp)#group 5//5为DH密钥组号,取值为1、2、5、6
Router(config-isakmp)#exit
Router(config)#crypto isakmp key 0 address 201.4.4.2 //配置Key 0表示密钥使用明文,如果取值6表示密文, address 为对端的外网口地址
//定义传输集
Router(config)#crypto ipsec transform-set pass1 esp-aes esp-sha-hmac//pass1为该传输集的名称,后面跟上传输集选项esp-des、ah-sha-hmac( esp(加密头部) 加密方式为aes 完整性校验为sha)
//配置IPSec保护的数据流(ACL)
Router(config)#ip access-list extended xianlu1//定义一个扩展的ACL,命名为xianlu1
Router(config-ext-nacl)#permit ip 192.168.0.0 0.0.255.255 172.16.4.0 0.0.0.255//源IP地址为本地局域网的地址,目标为对端的局域网地址;定义ACL是为了明确这些数据流会通过隧道技术转发
//配置加密映射
Router(config-crypto-map)#crypto map ser1 10 ipsec-isakmp //定义一个map(名为ser1)10为加密映射的序列号,取值1~65535,值越小,优先级越高
Router(config-crypto-map)#set transform-set pass1//关联第二阶段的策略,在加密映射中调用pass1这个传输集
Router(config-crypto-map)#set peer 201.4.4.2 //对端外网口地址
Router(config-crypto-map)#match address xianlu1 //调用ACL--xinalu1
Router(config-crypto-map)#ex
//应用加密映射到外网口
Router(config)#int f 1/0//应用加密映射到外网口
Router(config-if)#crypto map ser1
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
*****************======================********************
在另一台1941中配置发现
Router(config)#crypto isakmp enable
^
% Invalid input detected at '^' marker.
解决办法,命令license boot module c1900 technology-package securityk9
Router(config)# license boot module c1900 technology-package securityk9//启用安全技术包
ACCEPT? [yes/no]: yes//接受最终用户许可协议
Router#copy running-config startup-config//保存运行配置
Destination filename [startup-config]?
Building configuration...
[OK]
Router#reload//重新加载路由器以启用安全许可证
Proceed with reload? [confirm]
########################################################################## [OK]
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#crypto isakmp enable//问题解决!
Router(config)#
*****************======================********************
核心路由器:与外网相连f 1/0:201.1.1.1/24;与内网相连:192.168.0.0/16
sub路由器:与外网相连g 0/0:201.4.4.2/24;与内网相连:192.168.4.0/24
在另一台sub路由器1941中配置相同的IPSEC命令如下:
第一阶段(除了策略的序号外可以不同外,其他的验证要和对端一致)
SH(config)#crypto isakmp policy 20 //使用20,只是为了验证序号本地有效。也可以使用10
SH(config-isakmp)#authentication pre-share
SH(config-isakmp)#encryption aes
SH(config-isakmp)#hash sha
SH(config-isakmp)#group 5
SH(config-isakmp)#exit
SH(config)#crypto isakmp key 0 address 201.1.1.1
第二阶段
SH(config)#crypto ipsec transform-set pass2 esp-aes esp-sha-hmac //验证类型要与对端一致
SH(cfg-crypto-trans)#exit
SH(config)#ip access-list extended xianlu1 //定义ACL
SH(config-ext-nacl)#permit ip 172.16.4.0 0.0.0.255 192.168.0.0 0.0.255.255
SH(config)#crypto map ser1 10 ipsec-isakmp //名称本地有效
SH(config-crypto-map)#set transform-set pass2 //关联本地的第二阶段策略
SH(config-crypto-map)#set peer 201.1.1.1
SH(config-crypto-map)#match address xianlu1
SH(config-crypto-map)#exit
SH(config)#int g0/0
SH(config-if)#crypto map ser1 //应用
出来Sub地级园区网之外,还需要将配货园区网连接到核心路由器
配货中心路由器:与外网相连g 0/0:201.3.3.7/24;与内网相连:10.0.0.0/8
在核心路由器添加新命令如下
Router(config)#crypto isakmp key 0 address 201.3.3.7
Router(config)#crypto ipsec transform-set pass2 esp-aes esp-sha-hmac
Router(config)#ip access-list extended xianlu2
Router(config-ext-nacl)#permit ip 192.168.0.0 0.0.255.255 10.0.0.0 0.255.255.255
Router(config-ext-nacl)#ex
Router(config)#crypto map ser2 10 ipsec-isakmp
% NOTE: This new crypto map will remAIn disabled until a peer
and a valid access list have been configured.
Router(config-crypto-map)#set transform-set pass2
Router(config-crypto-map)#set peer 201.3.3.7
Router(config-crypto-map)#match address xianlu2
Router(config-crypto-map)#ex
Router(config)#int f 1/0
Router(config-if)#crypto map ser2
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
在配货中心路由器上配置参考Sub核心路由器,命令如下:
Router(config)#crypto isakmp enable
Router(config)#crypto isakmp policy 20
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#encryption aes
Router(config-isakmp)#hash sha
Router(config-isakmp)#group 5
Router(config-isakmp)#ex
Router(config)#crypto isakmp key 0 address 201.1.1.1
Router(config)#crypto ipsec transform-set pass2 esp-aes esp-sha-hmac
Router(config)#ip access-list extended xianlu2
Router(config-ext-nacl)#permit ip 10.0.0.0 0.255.255.255 192.168.0.0 0.0.255.255
Router(config-ext-nacl)#ex
Router(config)#crypto map ser2 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
Router(config-crypto-map)#set transform-set pass2
Router(config-crypto-map)#set peer 201.1.1.1
Router(config-crypto-map)#match address xianlu2
Router(config-crypto-map)#ex
Router(config)#int g0/0
Router(config-if)#crypto map ser2
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
配置完成后测试如下: