使用Cisco路由器配置IPsec之端到端VPN

使用Cisco路由器配置IPsec之端到端VPN

二. 部署各网络设备ip地址

(略) R1和R3需配静态路由

R3：R3(config)#crypto isakmp enable R3(config)#crypto isakmp policy 1R3(config-isakmp)#hash md5 R3(config-isakmp)#authentication pre-share R3(config-isakmp)#encryption 3des R3(config-isakmp)#group 1R3(config-isakmp)#lifetime 10000 R3(config-isakmp)#exitR3(config)#access-list 101 permit ip any any R3(config)#crypto isakmp key 1234 address 172.16.1.1R3(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmacR3(config)#crypto map sxs 10 ipsec-isakmp R3(config-crypto-map)#set peer 172.16.1.1R3(config-crypto-map)#set transform-set ciscoR3(config-crypto-map)#match address 101R3(config-crypto-map)#exitR3(config)#int s1/1R3(config-if)#crypto map sxsR3(config)#exitR3#

相关验证结果的查看命令显示ISAKMP协商策略的结果R1#sh crypto isakmp policy

查看管理连接SA的状态R1#sh crypto isakmp sa

显示IPSEC变换集R1#sh crypto ipsec transform-set

显示数据数据连接SA的细节信息R1#sh crypto ipsec sa

显示Crypto Map的信息R1#sh crypto map

四.验证实验：R1#ping 172.16.1.2 ping不通，R3#ping 172.16.2.1 ping不通，因为流量都从vpn走了

而R1#ping 172.16.2.2可以ping通，R3#ping 172.16.1.1可以ping通

这是为什么？前面说了，因为流量都从×××隧道通过了。这样的拓扑就会导致原来两个分公司，可以上外网，但是之间建立IPsec之后，就只能分公司进行通讯，而无法与外网通讯了

前面有个小坑，那就是access-list 101 permit ip any any 也就是所有流量都从×××走，实际应用中可别这样哦，把这个改为指定ip或地址段即可

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。