拓扑图:
注:Cisco 路由器和四信的路由都有固定的 WAN IP 地址。
一、Cisco 路由器配置:
1、配置 IKE 第一阶段参数: 用优先级号码标识策略 1 为最高 crypto isakmp policy 20
encr 3des hash md5
authentication pre-share group 2
lifetime 3600 //IKE SA 生存时间
|
crypto isakmp key cisco123 address |
192.168.10.70 |
//共享密钥和对端地址 |
|
crypto isakmp keepalive 3600 10 |
|
//启动 IKE 死亡对等体检测(DPD) |
2、配置 IKE 第二阶段参数:
crypto ipsec transform-set sixin esp-3des esp-md5-hmac //准备变换集
crypto map ipsecvpn 20 ipsec-isakmp
set peer 192.168.10.70 //指定 IPSec 的 peer 地址
set transform-set sixin //指定交换集合
match address 100 //匹配需要 IPSec SA 保护的数据 流
准备 ACL,匹配需要 IPSec SA 保护的数据流 (未配置会卡在第二阶段)
access-list 100 permit ip 10.0.0.0 0.0.0.255 192.168.150.0 0.0.0.255
3、interface FastEthernet0/0 //策略应用到端口
crypto map ipsecvpn
4、写路由到客户端内网:(未配置会无法访问客户端的内网)
ip route 192.168.150.0 255.255.255.0 192.168.10.70 二、四信路由配置 IPSEC。
三、查看路由器 IPSEC 是否建立。
