IPSEC VPN建立过程浅析.pdf

实例分析：拓扑两端分别对应的是各自的私网地址，R1/R2与中央路由器之间的地址分配为可路

由地址，模拟通过internet建立LAN-to-LANVPN。

加密点：202.100.2.1202.100.1.1

通讯点：即为R1/R2后方的子网，此处用1.1.1.1、2.2.2.2代替

我们所关注的流量即感兴趣流，为1.1.1.1到3.3.3.3之间的流量，因此需要使用ACL匹配相应的

流量。

配置步骤如下：

1.首先确保R1/R2拥有SAPEERS的路由，即拥有对端加密点的路由，其次，还应该拥有感兴

趣流的路由

R1：iproute202.100.2.1255.255.255.255202.100.1.10

iproute3.3.3.3255.255.255.255202.100.1.10

R2：iproute202.100.1.1255.255.255.255202.100.2.10

iproute1.1.1.1255.255.255.255202.100.2.10

配置phaseIISAKMP协商参数

R1：cryptoisakmppolicy10

authenticationpre-share

encryption3des

hashsha

cryptoisakmpkey0（6对应的是加密）ciscoaddress202.100.2.1

R2：cryptoisakmppolicy10

authenticationpre-share

encryption3des

hashsha

cryptoisakmpkey0ciscoaddress202.100.1.1

PS：系统默认策略

Hash：SHA

认证：RSA-SIGN

DHGroup：Group1

LifeTime：86400seconds

3.配置phaseIIIPSEC策略

R1/R2：cryptoipsectransform-setSECesp-desesp-MD5-hmac

4.匹配感兴趣数据流

R1:access-list103permitiphost1.1.1.1host3.3.3.3

R2:access-list103permitiphost3.3.3.3host1.1.1.1

5.创建cryptomap

R1:

cryptomapVPNipsec-isakmp

Settransform-setSEC

Setpeer202.100.2.1

Matchaddress103

R2:

cryptomapVPNipsec-isakmp

Settransform-setSEC

Setpeer202.100.1.1

Matchaddress103

6.挂接接口：

R1/R2：

interfacee0/1

cryptomapVPN

=====================分割线========================

verlify：

首先开启debug，抓取响应数据包：

1、debugcryptoipsec

2、debugcryptoisakmp

然后针对感兴趣流使用PING命令验证:

R2#ping1.1.1.1source3.3.3.3

观察DEBUG数据：

R2#ping1.1.1.1source3.3.3.3

Typeescapesequencetoabort.

Sending5,100-byteICMPEchosto1.1.1.1,timeoutis2seconds:

Packetsentwithasourceaddressof3.3.3.3

*Mar100:56:59.211:IPSEC(sa_request):,

(keyeng.msg.)OUTBOUNDlocal=202.100.2.1,remote=202.100.1.1,

local_proxy=3.3.3.3/255.255.255.255/0/0(type=1),

remote_proxy=1.1.1.1/255.255.255.255/0/0(type=1),

protocol=ESP,transform=esp-3des