思科ipsec配置及trouble shooting详解
拓扑:
R2模拟总部出口,R3模拟分支出口,R4,R5分别模拟对于内网设备
目的:
使用ipsec vpn打通两端内网
整体配置思路:
1.建立vpn的前提是隧道两端的公网ip网络可达 2.需要配置第一阶段(DH协商,预共享密钥),第二阶段(感兴趣流,转换集(封装协议,封装模式)触发MAP匹配感兴趣流) 3.调用MAP到出口端口
具体配置:
第一阶段 配置DH协商(第一二个报文交互) crypto isakmp policy 10 encryption aes 256 //加密算法 authentication pre-share //只能选择预共享密钥认证 group 2 lifetime 3600//密钥生存时间 Ex 配置域共享密钥 crypto isakmp key 6 luodp address 13.1.1.3(对端隧道地址) crypto ipsec transform-set test esp-aes 256 esp-sha-hmac mode tunnel Ex 配置感兴趣流 Access-list 102 permit ip aaaa 0.0.0.255 bbbb 0.0.0.255 第二阶段,SA协商,配置MAP(触发隧道的条件) crypto map text 10 ipsec-isakmp set peer 13.1.1.3(对端隧道地址) set transform-set test //调用test match address 102
Trouble shooting:
常用的show命令: 1.查看第一阶段建立情况
第一阶段建立不成功的情况可能是网络不可达,参数配置不匹配 2.查看第二阶段建立情况
第二阶段建立不成功的因素可能是感兴趣流或者参数配置不匹配 3.如果网络还是不可达,可能是接口没有调用map
上一篇:
Java架构师技术进阶路线图
下一篇:
二极管、稳压二极管、发光二极管电路测试