利用IPSec VPN 实现总分公司跨Internet相互访问！

1.要求

某公司为了降低人员成本，在中小城市建立了分公司，但是为了保证数据，业务和总公司同步，必须保证数据业务的安全性。

2，提出利用IPsec VPN 技术分别在分，总公司的网关路由器上搭建。

                                                        实施原理

 1对等体IPSec 连接需要三个步骤。

（1）流量触发

      IPSec 建立过程是由对等体之间发送的流量触发的，需要明确哪些流量需要被保护。

（2）建立管理连接

     IPSec 使用ISAKMP/IKE阶段1来构建一个安全管理连接，需要，明确设备如何实现验证，使用何种加密及验证算法，使用哪种DH（非对称加密） 等组问题，

（3)  建立数据连接

   IPSec 基于安全的管理连接协商建立安全的数据连接，而ISAKMP/IKE阶段2 就是用这个完成这个任务的，数据连接用于传输真正用户的数据。需要明确使用何种安全协议，针对具体的安全协议应使用加密或者验证算法，以及数据的传输模式（隧道模式或传输模式）等。

经过IPSec 建立的三部曲后，VPN 流量便可以按照协商的结果加密/解密了，但是VPN连接不是一次性的无论管理 连接和数据连接都有一个生命周期与之关联，一旦到期连接就会终止如果在需要重新连接被构建，这种设计出于安全性考虑。

R1总公司网关配置

1.

Router(config)#ip route 0.0.0.0 0.0.0.0 100.1.1.2 # 默认路由实现访问ISP网络

Router(config)#access-list 100 permit ip   192.168.1.0 0.0.0.255 192.168.2.0  0.0.0.255  #触发流量

Router(config)#crypto isakmp policy 10   #建立ISAKMP/LKE的管理连接策略，每一个策略对应一个序范围1-10000 ，序列号数值越低优先级越高，名利进入isakmp子命令模式。

Router(config-isakmp)#encryption aes      #用于指定管理连接的最后两个数据报文（用于身份验

                                                                             证）采用何种加密算法分别是（des）（3des（aes）

Router(config-isakmp)#hash sha # hash命令指定了验证过程采用HMAC的功能（md5（sha）

Router(config-isakmp)#authentication pre-share #验证方式 （rsa-encr）（rsa-sig）

Router(config-isakmp)#group 5 #group 指定DH秘钥组组号越来算法越安全占用设备的资源越多

生存周期略 默认值86400s（24小时）

Router(config)#crypto isakmp key 0 555  addres 200.1.1.1    #共享密钥的对等体设备地址 0 表示明文 6表示密文 传输都是密文 配置查看显示为明文

配置

                                      2.IPSec变换集

Router(config)#crypto ipsec transform-set aaa esp-3des ah-sha-hmac  #加密方式和验证方式

Router(cfg-crypto-trans)#mode tunnel     #为隧道模式

生命周期略按默认

                                  3  配置加密映射

Router(config#crypto map bbb 1 ipsec-isakmp                   #类型

Router（conffig-crypto-map)#set peer 200.1.1.1  #对端地址

 Router（config-crypto-map)#set transform-set aaa  #引用aaa的加密方式

Router#config-crypto-map)#match address 100 #应用流量触发的ACL名称

                                      4，将映射应用到接口

Router#config)#interface e0/0
Router#config-if)#crypto map bbb  

                                                      R3分公司网关配置

Router(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.2 # 默认路由实现访问ISP网络

Router(config)#access-list 110 permit ip   192.168.2.0 0.0.0.255 192.168.1.0  0.0.0.255  #触发流量

Router(config)#crypto isakmp policy 10   #建立ISAKMP/LKE的管理连接策略，每一个策略对应一个序范围1-10000 ，序列号数值越低优先级越高，名利进入isakmp子命令模式。

Router(config-isakmp)#encryption aes      #用于指定管理连接的最后两个数据报文（用于身份验

                                                                             证）采用何种加密算法分别是（des）（3des（aes）

Router(config-isakmp)#hash sha # hash命令指定了验证过程采用HMAC的功能（md5（sha）

Router(config-isakmp)#authentication pre-share #验证方式 （rsa-encr）（rsa-sig）

Router(config-isakmp)#group 5 #group 指定DH秘钥组组号越来算法越安全占用设备的资源越多

生存周期略 默认值86400s（24小时）

Router(config)#crypto isakmp key 0 555  addres 100.1.1.1    #共享密钥的对等体设备地址 0 表示明文 6表示密文 传输都是密文 配置查看显示为明文

配置

                                      2.IPSec变换集

Router(config)#crypto ipsec transform-set ccc esp-3des ah-sha-hmac  #加密方式和验证方式

Router(cfg-crypto-trans)#mode tunnel     #为隧道模式

生命周期略按默认

                                  3  配置加密映射

Router(config#crypto map ddd 1 ipsec-isakmp                   #类型

Router（conffig-crypto-map)#set peer 100.1.1.1  #对端地址

 Router（config-crypto-map)#set transform-set aaa  #引用aaa的加密方式

Router#config-crypto-map)#match address 110 #应用流量触发的ACL名称

                                      4，将映射应用到接口

Router#config)#interface e0/1
Router#config-if)#crypto map ddd 

本文出自 “渲染不变的昨天” 博客，谢绝转载！

利用IPSec VPN 实现总分公司跨Internet相互访问！,古老的榕树,5-wow.com