思科路由器与阿里云网关建立IPSec隧道配置（路由器支持ipsec）

思科路由器与阿里云网关建立IPSec隧道配置（路由器支持ipsec）

阿里云端配置

1、在阿里云控制台专有网络VPC界面找到IPSec连接菜单；

2、创建IPsec连接，输入需要填写的信息；

思科路由器端

1、根据下载的配置，调整为对应路由器端配置；

注意：阿里云底层ipsec用的strongswan和思科ikev2不兼容，有bug。因此建议采用ikev1，但ikev1建议只写1条感兴趣流。

配置样本：

{

"LocalSubnet": "10.1.5.0/24",

"RemoteSubnet": "172.16.0.0/24",

"IpsecConfig": {

"IpsecPfs": "group2",

"IpsecEncAlg": "aes",

"IpsecAuthAlg": "sha1",

"IpsecLifetime": 86400

},

"Local": "12.7.10.17",

"Remote": "13.22.15.3",

"IkeConfig": {

"IkeAuthAlg": "md5",

"LocalId": "12.7.10.17",

"IkeEncAlg": "aes",

"IkeVersion": "ikev1",

"IkeMode": "main",

"IkeLifetime": 86400,

"RemoteId": "13.22.15.3",

"Psk": "8r6znxxxxxxyi",

"IkePfs": "group2"

}

}

2、ikev1版配置参考：

crypto isakmp policy 1

encr aes

authentication pre-share

hash md5

group 2

lifetime 86400

crypto isakmp key 8rXXXXX8mii address 13.22.15.3

ip access ex ZX

per ip 10.1.5.0 0.0.0.255 172.16.0.0 0.0.0.255

crypto ipsec transform-set ZX esp-aes esp-sha-hmac

mode tunnel

crypto map ZX 10 ipsec-isakmp

set peer 13.22.15.3

set transform-set ZX

match address ZX

interface G0/1

crypto map ZX

3、配置完成后，使用流量触发隧道建立。

排错命令

show crypto isa sa

show crypto ips sa peer 13.22.15.3

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。