×××(virtual private network 虚拟专网),利用公用网络,按照相同的策略和规则,建立内部私有连接。
广泛的讲,***体系结构分为:站点到站点的***和远程访问***

站点到站点的***:在这种情况下,同一个机构内部的多个网络站点位于不同的地理位置,这些站点使用***连接;(主要使用第三层隧道协议)

远程访问***:在这种情况下,***被用来连接一个单一的远程网络设备和企业的内联网。(使用第二层隧道协议)

***技术主要包括4个关键技术:

一、安全隧道技术
二、信息加密技术
三、用户认证技术
四、访问控制技术

下面主要介绍一个IPSEC ×××的配置:(用于站点到站点之间的***)

一:配置IKE的协商
enable
config terminal

crypto isakmp enable (此命令用于启用IKE,在CISCO IOS软件中默认是激活的,如果被人工关闭,则要再次激活)

crypto isakmp policy 1 (此命令用于定义一个IKE策略号,取值范围为1-1000,策略编号越低,其优先级越高)

hash md5 (hash命令用来配置密钥认证所用的算法,有MD5和SHA-1两种,后者的安全性更高)

encryption des (encryption命令用来设置加密使用的算法,有DES和3DES两种,后者的安全性更高)

authentication pre-share(此命令告诉路由器要使用预先共享的密钥,此密码是手工指定的)

exit

crypto isakmp key 123 address 192.168.0.1 (此命令用来设置共享的密钥和对端的IP,这里假设密钥是123,对端的地址是192.168.0.1,当然在对端也要进行配置)

二:配置IPSEC相关参数:
access-list 101 permit ip 10.0.0.0 0.255.255.255 172.16.0.0 0.0.0.255 (这里使用扩展的访问控制列表定义一个内部主机访问外部主机的数据并全部加密,在对端也要进行相应的配置)

crypto ipsec transform-set qwer ah-md5-hamc esp-des esp-md5-hma  (qwer为此传输模式的名字)

这里配置的是IPSEC的传输模式,可以配置AH认证,ESP加密,ESP认证也可以进行配置,也可不进行配置

可选的参数主要有以下几种:
AH验证参数:ah-md5-hmac   ah-sha-hamc
ESP加密参数:esp-des   esp-3des    esp-null
ESP验证参数:esp-md5-hma    esp-sha-hamc

配置端口的应用:
crypto map yang 1 ipsec-iskmp (参数psec-iskmp表明此IPSEC连接将采用IKE自动协商,参数1表明此map的优先级,取值范围为1-65535,值越小,优先级越高,yang则是此map的具体名称)

match address 101 (101是前面定义的扩展访问控制列表的表号,此命令用于指定crypto map使用的访问控制列表)

set peer 192.168.0.1 (set peer指定了此crypto map所对应***链路对端的IP地址,此地址必须和前面IKE中配置的对端IP地址相同)

set transform-set qwer (set transform-set定义了此crypto map所使用的传输模式)

Exit

最后将crypto map应用到路由器的外部接口:
interface serial 0/0
crypto map yang


查看命令:
show crypto isakmp policy  (显示所有尝试协商的策略以及最后的默认策略设置)

show crypto ipsec transform-set  (显示在路由器上设置的传输模式)

show crypto ipsec sa  (显示当前安全联盟使用的设置)

show crypto map (显示所有配置在路由器上的crypto map )

配置实例:

R1的具体配置(左边的为R1)

Enable

Config terminal

Interface f0/0

Ip address 192.168.0.1 255.255.255.0

No  shutdown

Exit

Interface serial 0/0

Encapsulation ppp

Ip address 141.10.25.33 255.255.255.252

Clock rate 128000

No shutdown

Exit

Ip route  0.0.0.0  0.0.0.0  s0/0

Crypto isakmp enable

Crypto isakmp policy 1

Hash md5

Encryption des

Authentication pre-share

group 1

lifetime 3600

Exit

Crypto isakmp key Naruto address 147.14.30.10

Access-list 101 permit ip 192.168.0.0  0.0.0.255  10.0.0.0  0.255.255.255

Crypto ipsec transform-set  heihei  ah-md5-hamc  esp-des

Crypto map yang 1 ipsec-isakmp

Match address 101

Set peer 147.14.30.10

Set transform-set heihei

Exit

Interface serial 0/0

Crypto map yang

End

Write

R2的具体配置:

Enable

Config terminal

Interface f0/0

Ip address 10.0.0.1 255.0.0.0

No  shutdown

Exit

Interface serial 0/0

Encapsulation ppp

Ip address 147.14.30.10 255.255.255.252

No shutdown

Exit

Ip route  0.0.0.0  0.0.0.0  s0/0

Crypto isakmp enable

Crypto isakmp policy 2

Hash md5

Encryption des

Authentication pre-share

group 1

lifetime 3600

Exit

Crypto isakmp key Naruto address 141.10.25.33

Access-list 101 permit ip 10.0.0.0  0.255.255.255  192.168.0.0  0.0.0.255

Crypto ipsec transform-set  haha  ah-md5-hamc  esp-des

Crypto map lin 1 ipsec-isakmp

Match address 101

Set peer 141.10.25.33

Set transform-set haha

Exit

Interface serial 0/0

Crypto map lin

End

Write