cisco路由器上做IPSec-VPN

session 1 ipsec知识点

IPsec(IP Security)ip安全的简称

    在实施VPN时，除了实现隧道功能以外，还要实现数据安全，两者缺一不可；在隧道方面，之前所讲到的GRE就是最常用的隧道技术，而在数据安全方面，其实就是要让数据加密传输，至于如何对数据进行加密传输，有一个使用最广泛，且最经典的技术方案，这就是IPsec（IP Security），IPsec最突出，也是最主要的功能就是保证VPN数据的安全传输。

    IPsec定义了使用什么样的方法来管理相互之间的认证，以及使用什么样的方法来保护数据，IPsec只是定义了一些方法，而IPsec本身并不是一个协议，就像OSI（Open System Interconnect）参考模型一样，OSI并不是一个协议，OSI只是一个框架，一个模型，OSI里面包含着多个协议，如TCP，UDP，IP，ICMP等等；IPsec中同样也包含着为之服务的各种协议去实现IPsec要完成的各个功能，只有这样，IPsec才能起到作用。

 

IPsec能够起到的功能有：

数据源认证（Data origin authentication），确保发送源真实可靠。

保护数据完整性（Data integrity），确保数据不被中截获篡改。
保证数据私密性（Data confidentiality），确保数据加密不被明文形式读取。

防止中间人攻击（Man-in-the-Middle），防止中间人截获数据。

防止数据被重放（Anti-Replay），防止数据被黑客读取篡改后再传输给接收方。

 

为IPsec服务的总共有三个协议：

IKE（Internet Key Exchange）

ESP（Encapsulating Security Protocol）

AH（Authentication Header）

虽然总共是三个协议，但分为两类：

IKE（Internet Key Exchange）

    IKE是个混合协议，其中包含部分Oakley协议以及内置在ISAKMP（Internet Security Association and Key Management Protocol协议中的部分SKEME协议，所以IKE也可写为ISAKMP/Oakley，它是针对密钥安全的，是用来保证密钥的安全传输、交换以及存储，主要是对密钥进行操作，并不对用户的实际数据进行操作。

    IKE(Internet key Exchange)互联网密钥交换,是基于Internet安全联盟(sa)和密钥管理协议(ISAKAMP)定义的框架.它为2个对等体提供了相互验证、交换密钥管理信息以及协商安全服务的手段，但是没有规定如何让进行验证，和采取什么样的算法的密钥。通俗的说，它为加密传输提供了交通工具，但是传送什么东西却留给了其他的规定（如ipsec）

    ESP（Encapsulating Security Protocol）和AH（Authentication Header）主要工作是如何保护数据安全，也就是如何加密数据，是直接对用户数据进行操作的。因为在实施VPN时，除了实现隧道功能以外，还要实现数据安全，两者缺一不可；在之前我的提到的GRE隧道技术中，只能实现隧道而不能实现安全，而IPSec则可以为隧道提供数据保护功能，从而构建一个完整的VPN体系。IPsec除了能够为隧道提供数据保护来实现VPN之外，IPsec还可以自己单独作为隧道协议来提供隧道的建立，如果IPsec自己单独作为隧道协议来使用，那么IPsec就不需要借助任何其它隧道协议就能独立实现VPN功能；IPsec到底是只使用数据保护功能再配合其它隧道协议，还是自己独立实现隧道来完成VPN功能，可以由配置者自己决定。

注：AH和ESP都有防止数据被篡改的认证机制，而ESP还有加密数据的机制，AH没有加密数据的机制，只有通过封装来实现对数据的保护机制，不像ESP可以对数据直接加密。

重点：这里的ESP和AH的认证和下面的认证（Authentication）不是一个概念，下面的是指两个对等体之间的认证，就是保证双方vpn通道的对接点（如两台route或防火墙）是合法的不是黑客冒充的，而AH和ESP中的认证时指对于ipsec中交换的秘钥的合法可靠性和对于数据的合法可靠性的认证，防止被中间篡改。不过一般只用ESP协议，因为ESP既有认证机制也有加密机制。

 

认证（Authentication）

    IKE会在VPN对等体之间采用认证机制（Authentication），认证可以有效确保会话是来自于真正的对等体而不是攻击者，因为如果最开始本身就是在和一个攻击者或黑客进行会话和协商，那么后面的所有工作都是白废，所以保证只和合法的对等体会话是非常重要的；IKE的认证方式有三种：

一、Pre-Shared Keys (PSK)

二、Public Key Infrastructure (PKI) using X.509 Digital Certificates

三、RSA encrypted nonce

其中Pre-Shared Keys (PSK)是最简单的，使用由管理员事先在双方定义好的密码，认证时，只有双方密码匹配之后，后续的工作才能继续；配置时通常可以包含IP地址，子网以及掩码，也可以指定为任意地址来代替固定地址，适用于IP地址不固定的环境。 PKI是使用第三方证书做认证，叫做Certificate Authority (CA),，里面包含名字、序列号，有效期以及其它可以用来确认身份的参数；证书也可以被取消。（本文只涉及Pre-Shared Keys与共享秘钥PSK）

 

密钥算法（Diffie-Hellman）

    虽然IKE使用了认证来保证会话一定是来自合法的对等体，但是单靠认证也无法保证密钥的安全，因为数据还是有可能被第三者截获，所以IKE还必须有一套机制来保证密钥的安全，因为只要密钥泄露，就全玩完了。在密钥方面，IKE使用了称为Diffie-Hellman的算法在VPN对等体之间建立安全的密钥用来加密数据， Diffie-Hellman使用了极为复杂的数学算法，最后将在VPN对等体之间计算出只有它们自己才知道的密钥，即使他们的会话被第三者监控，也无法推算出密钥，本文不对Diffie-Hellman的详细计算过程做介绍，因为这也不是本文的最终目的。 Diffie-Hellman算法目前有3种密钥长度可选，所以在配置时，需要定义Diffie-Hellman的密钥长度，分别有如下选择：

Group 1 密钥长度为768 bit，也是默认的密钥长度；

Group 2 密钥长度为1024 bit；

Group 5 密钥长度为1536 bit。 

    用于数据加密的密钥的值是靠算法计算出来的，是不能由管理员定义和修改的，只能在配置IKE的时候选择其中一组秘钥算法，默认不配置是group1秘钥算法。

    也就是说，esp只是个协议。是用于定义使用哪种方法来加密，而DES、3DES等是esp中定义的加密方法对应的具体算法。（esp与3eds的关系相当于，替换法与用第N个数字替换第N+2个数字，这样的关系。用简单的话说就是：我们使用替换法（esp）为秘钥/数据来加密，具体是用数据中的字符串的第N个数字来替换第N+2个数字（3des），来形成一个新的加密后的秘钥/数据，然后在隧道中传输）而密钥算法（Diffie-Hellman）的选择就是让配置者定义密钥将使用多少个bit的长度来进行的加密，如果选择group的1024bit长度，就是要将密钥设置成1024bit长，然后在使用esp对着1024bit的秘钥进行3des或者des算法加密处理，最终形成一个加密后的秘钥，传递给隧道的对端。

注：IPSec目前只支持IPv4 Unicast（IPv4 单播），不支持其它任何协议（如视频的组播流量，IGP路由协议用组播来建立邻居，所以iPv4不支持IGP协议，除非使用GRE over IPSEC）。

 

SA（Security Associations）安全联盟

    定义了各种类型的安全措施，包括ip包加密和认证的相关信息。相当于ipces中的规则、契约（规定如何加密，如何认证）。但是sa是单向传递的，就是说，2个对等体上必须要有相同的sa规则（认证、加密等每一个对应一个套sa规则）

    IPsec的所有会话都是在通道中传输的，包括协商密钥，传递用户数据；这样的通道称为SA（Security Association），SA并不是隧道，而是一组规则，就好比是需要会话的对等体之间必须遵守的一份合同。SA中的规则能够保证所有数据的安全传递，因此SA中包含了之前提到的保证数据和密钥安全时必不可少的认证、加密等安全策略，这些需要用到的技术，都要在SA中定义。
    因为VPN之间传输的数据需要加密才能保证安全，并且加密时所用到的密钥要更加安全，所以对待密钥，我们也需要付出巨大的努力。在密钥的安全上，由IKE负责，而数据的安全，则由IPsec负责，虽然是这么说，但需要注意，IKE也是IPsec不可分割的一部分，IKE不是独立存在的。 SA并不是只有一个，由于密钥安全和数据安全我们是分开对待的，所以SA有两个，分别是定义了如何保护密钥和如何保护数据，这两个SA就是： ISAKMP Security Association（IKE SA） IPsec Security Association（IPsec SA） 每个SA都有lifetime，过期后SA便无效，lifetime使用time (second) 和volume limit (byte count)来衡量，在建立SA时就会协商出来，双方会比对，最终取值小的一方；通常是时间先过期，在要过期最后120秒之前，会自动重建另一条SA，避免活动的SA到期后无法传输数据，这样就能实现平滑过渡，以丢最少的包。注：IKE SA等同于ISAKMP SA。（本段内容特别重要，可明确理解ipsec配置过程）

    IKE SA IKE SA要保护的对象是与密钥有关的，IKE并不直接关心用户数据，并且IKE SA是为安全协商IPsec SA服务的（IKE第一阶段的协商为IPSEC第二阶段服务铺路）。IKE SA的lifetime默认为86,400 seconds即一天，默认没有volume limit。

 

IPsec SA

    用户的数据流量真正是在IPsec SA上传递的，而不是在IKE SA；IPsec SA直接为用户数据流服务，IPsec SA中的所有安全策略都是为了用户数据流的安全。 每个IPsec对等体都有一对IPsec SA，一个是去往远程目的地的，而另一个是从远程回来的，也就是一进一出，都存放在本地SA Database中。

    IPsec SA的lifetime默认为3600 seconds，即1小时；默认volume limit为4,608,000 Kbytes，即4.608 Gbyte。 因为SA有两个，分为IKE SA和IPsec SA，两个SA分别定义了如何保护密钥以及如何保护数据，其实这两个SA都是由IKE建立起来的，所以将IKE的整个运行过程分成了两个Phase（阶段），即：第一阶段和第二阶段

IKE Phase One 和 IKE Phase Two

 

IKE Phase One
    IKE Phase One的主要工作就是建立IKE SA（ISAKMP SA），IKE SA的服务对象并不是用户数据，而是密钥流量以及为IPsec SA阶段服务的IKE SA的协商阶段被称为main mode（主模式），但是IKE也是需要保护自己的流量安全的（这些流量并非用户流量），所以IKE SA之间也需要协商出一整套安全策略，否则后续的密钥和IPsec SA的建立就不能得到安全保证；IKE SA之间需要协商的套安全策略包括：

1、认证方式（Authentication，用于对合法对端的认证）

共总有Pre-Shared Keys (PSK)，Public Key Infrastructure (PKI)，RSA encrypted nonce三种，默认为PKI。

2、加密算法（Encryption）

总共有DES，3DES，AES 128，AES 192，AES 256，默认为DES。

3、Hash算法（HMAC，用于对秘钥和数据的认证）

总共有SHA-1，MD5，默认为SHA-1。

4、密钥算法

（Diffie-Hellman） Groups 1 （768 bit），Group 2（1024 bit），Group 5（1536 bit），默认为Groups 1 （768 bit）。

5、Lifetime 随用户定义，默认为86,400 seconds，但没有volume limit。 NAT穿越（NAT Traversal）默认为开启状态，无须手工配置。

 

IKE Phase Two
    IKE Phase Two的目的是要建立IPsec SA，由于IKE SA的服务对象并不是用户数据，而是密钥流量，以及为IPsec SA服务的，IKE SA是为IPsec SA做准备的，所以如果没有IKE SA，就不会有IPsec SA；IPsec SA是基于IKE SA来建立的，建立IPsec SA的过程称为 快速模式（quick mode）。IPsec SA才是真正为用户数据服务的，用户的所有流量都是在IPsec SA中传输的，用户流量靠IPsec SA来保护，IPsec SA同样也需要协商出一整套安全策略，其中包括：

1、加密算法（Encryption）

总共有DES，3DES，AES 128，AES 192，AES 256，默认为DES。

2、Hash算法（HMAC用于对数据的认证）

总共有SHA-1，MD5，默认为SHA-1。

3、Lifetime

随用户定义，默认为3600 seconds，即1小时；默认volume limit为4,608,000 Kbytes，即4.608 Gbyte。

 

session 2 ipsec的两种模式

IPsec Mode

共有Tunnel mode和Transport mode，默认为Tunnel mode。

    从上可以看出，IPsec SA中没有协商认证方式（Authentication）和密钥算法（Diffie-Hellman），因为IKE SA时已经认证过了，所以后面已经不需要再认证；并且密钥是在IKE SA完成的，所以在IPsec SA中也就谈不了密钥算法了，但也可以强制再算。
    因为在实施VPN时，除了实现隧道功能以外，还要实现数据安全，两者缺一不可；在之前我的提到的隧道技术中，只能实现隧道而不能实现安全，而IPSec则可以为隧道提供数据保护功能，从而构建一个完整的VPN体系。IPsec除了能够为隧道提供数据保护来实现VPN之外，IPsec还可以自己单独作为隧道协议来提供隧道的建立，如果IPsec自己单独作为隧道协议来使用，那么IPsec就不需要借助任何其它隧道协议就能独立实现VPN功能；IPsec到底是只使用数据保护功能再配合其它隧道协议，还是自己独立实现隧道来完成VPN功能，完全由IPsec Mode来控制。

IPsec Mode分两种： Tunnel mode隧道模式和Transport mode传输模式

    Tunnel mode（默认模式）通过Internet连接的远程网络之间，当双方需要直接使用对方私有IP地址来互访时，因为私有IP网段是不能传递到Internet上进行路由的，所以目标地址是私有IP的数据包到达Internet后是会被丢弃的，要使地址是私有IP的数据包在Internet上传递，数据包的包头就必须带有公网IP；在之前，我们详细介绍过最常用的隧道协议GRE的工作原理，其根本功能就是要实现隧道功能，通过隧道连接的两个远程网络就如同直连，因为隧道将数据包原来的私有IP地址先隐藏起来，在外部封装上公网IP，等数据包通过公网IP被路由到该IP的路由器后，再由该路由器剥除数据包外层的公网IP，从而发现数据包的私有IP后，再通过私有IP将数据包发到真正的目的地，为此，GRE需要完成多次封装，总共有3次，换句话说，就是在GRE隧道中传输的数据包都有3个包头，GRE中的IP数据包是一层套一层，总共有3个IP地址。
    IPsec中的Tunnel mode就拥有着与GRE相同的隧道功能，那就是将数据包原来的私有IP地址先隐藏起来，在外部封装上公网IP，等数据包通过公网IP被路由到该IP的路由器后，再由该路由器剥除数据包外层的公网IP，从而发现数据包的私有IP后，再通过私有IP将数据包发到真正的目的地，所以，IPsec的Tunnel mode也会对原始数据包封装多个IP包头，当IPsec工作在Tunnel mode时，数据包的封装过程如下：

    从图中可以看出，当IPsec工作在Tunnel mode时，整个原始数据包都会被加密，包括数据部分和包头部分，正因为该封装形式隐藏了原始的IP 包头，导致了原始IP包头不可见，那么路由器就无法对该数据包进行路由，所以需要添加一个新的IP包头来正常路由，通常是加密设备自己的IP地址被加到新IP包头中，这个地址也可在IOS中定义；并且我们可以确定这个IP地址一定是在传输网（通常指公网Internet）中可以被路由的。至少为什么同时出现3个包头，理论同GRE隧道的原理，因为要实现隧道功能，此部分的理论可以参见之前GRE隧道部分。 IPsec包头的大小共32字节，而普通IP包头大小为20字节，所以可以看出，原始IP数据包经过Tunnel模式的IPsec封装之后，会多出大约52字节大小的包头。当原始数据包被Tunnel模式的IPsec封装时，这种封装方式被认为更安全，因为原始数据包的所有内容，包括数据部分，以及真正的源IP和目的IP都被加密了，所以更安全。

    Transport mode IPsec除了作为安全协议来为隧道提供数据保护之外，也可以自己单独作为隧道协议来提供隧道的建立，如果IPsec自己单独作为隧道协议来使用，那么IPsec就不需要借助任何其它隧道协议就能独立实现VPN功能；这些都是由IPsec Mode来控制的，如果IPsec要自己独立实现隧道来完成VPN功能，就需要工作在Tunnel mode，Tunnel模式的IPsec不仅实现了隧道功能，也保留了数据安全，实现了完整的VPN功能。如果IPsec不需要实现隧道功能，而只需要实现保护数据的安全功能，就只要工作在Transport mode即可，因为Transport模式的IPsec只有安全功能而没有隧道功能，所以还要再配合其它隧道协议，最终实现完整的VPN功能。当IPsec工作在Transport mode时，数据包的封装过程如下：

    从图中可以看出，当IPsec工作在Transport mode时，IPsec包头是添加在原始IP包头与上层协议（如传输层）之间的，所以原始IP包头在传输过程中还是可见的，同样也容易被分析。因为没有新IP包头被加入，所以没有多少增加的字节。由于数据包被Transport模式的IPsec封装时，原始IP包头在最外面，路由过程中是根据原始IP包头来路由的，所以当通过Internet连接的远程网络之间需要直接使用对方私有IP地址来互访时，此封装不可行，因为Transport mode没有实现隧道功能，所以如果要实现VPN功能，Transport模式的IPsec就应该配合p2p GRE over IPsec来使用。

ESP（Encapsulating Security Protocol）
    为IPsec服务的协议总共有三个：IKE（Internet Key Exchange），ESP（Encapsulating Security Protocol）以及AH（Authentication Header），其中IKE是针对密钥安全的，是用来保证密钥的安全传输、交换以及存储，主要是对密钥进行操作，并不对用户的实际数据进行操作，如果要保护用户数据，需要靠ESP（Encapsulating Security Protocol）和（Authentication Header），ESP和AH主要工作是如何保护数据安全，也就是如何加密数据，是直接对用户数据进行操作的，IPsec对用户数据的保护，靠ESP和AH的封装。

    ESP包头中使用IP协议号50来标识，意为IP协议号为50的数据包都被当作ESP数据包来处理；从上图中也可以看出，即使是封装ESP，也分为两种情况，因为IPsec本身分为两种模式，所以在进行安全封装数据包时，不同的模式，也会有不同的封装格式。从图中还可以看出，原始数据包经过ESP封装之后，只是数据被加密了，而原始的IP包头是没有改变的，虽然是这样，但也会使用其它方式，如HMAC来保证数据的安全性，其中包括：

1、保护数据完整性（Data integrity）

2、防止中间人攻击（Man-in-the-Middle）

3、防止数据被重放（Anti-Replay）

4、同样也提供数据认证（Data authentication）

AH（Authentication Header）

AH对用户数据包的封装过程如下：

AH包头中使用IP协议号51来标识，从图中可以发现，原始数据包经过AH封装之后，并没有被加密，这是因为AH封装并不使用常规的方法去加密数据部分，而是采用隐藏数据的方法，也就是相当于加一个防改写的封条给数据，很显然，这简直就是掩耳盗铃，如果数据机密要求高，千万不要单独使用AH封装。

 

ESP和AH结合

    在一个IPsec Security Association (SA)中可以同时使用ESP和AH，而ESP拥有和AH相同的认证功能，以及数据保护方法，所以只使用ESP就是最理想的。

 

Transform Set
    Transform set 是一组算法集合，通过它来定义使用怎样的算法来封装数据包，比如之前所说的ESP封装，AH封装都需要通过Transform set来定义，还可以定义其它一些加密算法以及HMAC算法；通过定义transform set，就可以让用户来选择保护数据的强度，因此transform set就是定义了数据包是受到怎样的保护。

 

Crypto Map
    Crypto map是思科的IOS中配置IPsec的组件，执行两个主要功能：选择需要加密处理的数据；定义数据加密的策略以及数据发往的对端。选择需要加密处理的数据就是定义什么样的流量需要被保护，因为也许用户并不是需要所有的数据都被保护，所以需要先匹配指定的流量才行；

    定义数据加密的策略以及数据发往的对端，也就相当于定义数据的目的地，有时，这也表示隧道的终点。其实Crypto map除了以上两个功能以外，还包含其它一些功能，如定义IPsec的Mode；Crypto map中的策略是分组存放的，以序号区分，如果一个Crypto map有多个策略组，则最低号码的组优先；当配置完Crypto map后，需要应用到接口上才能生效，并且一个接口只能应用一个Crypto map。 Crypto map还分为静态map（static map）和动态map（dynamic map），如果需要简单的区分它们，就是数据发往的对端是否固定，如果是动态map，那么对端是不固定的，在存在隧道的时候，也就表示隧道的终点是不固定的，但源始终是自己。

 

隧道分离（Split Tunneling）
    Split Tunneling只在远程VPN（remote VPN）时才有，因为当远程VPN用户的VPN隧道建立之后，该用户的所有流量都将被发送到隧道之上，这样一来，原本用户正常的用户，比如发往Internet的流量也被发到隧道上，结果就会造成远程VPN用户与Internet失去连接；为了让用户需要走VPN隧道的流量才被发送到隧道上，而其它流量，还是从原来的接口发送而不被IPsec封装，所以需要将用户的流量分为两类，从而区分对待，这就是隧道分离（Split Tunneling）；其实Split Tunneling和非远程VPN有某些相同之处，非远程VPN也有定义感兴趣流量的功能，这个功能就是指定什么样的流量通过VPN传输，什么样的流量正常传输；在最终的结果是，这两个功能在配置上是一样的。

 

IPsec LAN-to-LAN VPN（LAN-to-LAN VPN）
概述
    在IPsec VPN范畴的VPN中，有多种形式的VPN，各形式的VPN因为架构和使用环境的不同而不同，但在IPsec VPN范畴内的各VPN中，都是以IPsec为基础的，在本小节中要讲到的是IPsec VPN之LAN-to-LAN VPN，有时也被称为Site-to-Site VPN，该形式的VPN是IPsec VPN中最简单的VPN，但并不代表该形式的VPN是最常用的。 在配置IPsec VPN范畴的VPN时，无论配置哪种形式，基本上需要如下几个重要步骤：

1、配置IKE（ISAKMP）策略 定义认证标识

2、配置IPsec transform

3、定义感兴趣流量

4、创建crypto map

5、将crypto map应用于接口

其中每步的具体内容为：

1、配置IKE（ISAKMP）策略

2、定义IKE Phase One中的一些策略，包括加密算法（Encryption），Hash算法（HMAC），密钥算法（Diffie-Hellman），认证方式（Authentication）等等，每项的具体信息请参考前文内容。

3、定义认证标识（Pre-Sahred）

无论前面定义了何种认证方式，都需要添加认证信息，如密码、数字证书等等。

4、配置IPsec transform

也就是定义Phase Two中一些加密算法以及HMAC算法，此transform set就是定义了VPN流量中的数据包是受到怎样的保护。

5、定义感兴趣流量

定义哪些流量需要通过VPN来传输，通过IPsec来保护；匹配流量的方法为定义ACL，建议使用Extended ACL来匹配指定的流量，ACL中被permit匹配的的流量表示加密，而被deny匹配的流量则表示不加密。

注：在配置ACL定义感兴趣流量时需要格外注意的是ACL中不要使用any来表示源或者目标，否则会出问题。

6、创建crypto map

用于将之前定义的ACL，加密数据发往的对端，以及IPsec transform结合在crypto map中。

7、将crypto map应用于接口

crypto map配置后，是不会生效的，必须将crypto map应用到接口上，目前还没有听说crypto map对接口类型有任何要求，也就是正常接口都可以应用，当然必须是三层可路由接口。

 

session 3 实例配置Router-to-Router LAN-to-LAN VPN

配置site to site VPN，拓扑如下，要实现2个网络之间的ip流量ipsec

网络基础配置：

Router1(config)#interface s0/0

Router1(config-interface)#ip address 210.1.61.1 255.255.255.252

Router1(config-interface)#no shutdown

Router1(config-interface)#exit

 

Router2(config)#interface f1/0

Router2(config-interface)#ip address 172.16.1.1 255.255.255.0

Router2(config-interface)#no shutdown

Router2(config-interface)#exit

Router2(config)#ip route 0.0.0.0 0.0.0.0 s0/0

 

第一步.配置第一阶段配置IEK参数，协商秘钥的安全参数。

RA的配置
Router1(config)#crypto isakmp enable               启用iek协商

Router1(config-isakmp)#authentication per-share    规定使用预共享秘钥PSK来认证对等体是否合法
Router1(config)#crypto isakmp policy 1-10000       创建iek协商策略（数字小则优）           
Router1(config-isakmp)#hash {md5\sha1}           配置在建立连接时协商IKE使用的散列算法
Router1(config-isakmp)#encryption {DES\3DES}     配置在建立连接时协商IEK使用的加密算法

Router1(config-isakmp)#lifetime 60               配置SA的生存时间，超过将重新协商

 

第二部，配置对等体认证PSK

Router(config)#crypto isakmp key 0 123 address 211.195.161.55   

配置预共享秘钥参数和对端地址，key 0表示在running-config中以明文保存PSK密码

 

第三步.配置第二阶段配置ipsec参数，协商通过ipsec隧道的数据的安全参数。

R1中配置
Router1(config)crypto ipsec transform-set {transformName}{AH-md5-hmac\AH-sha-hmac}{ESP-des\ESP-3des\ESP-null}  

配置ipsec传输集名称和参数（AH和ESP的）可单独用AH或ESP，也可以两者都用。AH只有认证机制，ESP有认证机制和加密机制，但是没有AH的认证机制好。

 

第四步.配置感兴趣的流量。定义需要进行加密走vpn隧道的流量

Router1(config)#access-list 101 permit ip 172.16.1.0 0.0.0.255 172.20.1.0 0.0.0.255
Router1(config)#access-list 101 deny any any

 

第五步.将crypt map应用于接口上

R1中配置
Router1(config)#crypto map {mapname} {优先级(1-65535)则小而优} ipsec-isakmp      

创建crypto map名称和优先级，最后的"ipsec-isakmp"表明两端对等体IEK自动协商

Routrt1(config)#match address {access-listnumber}  指定ACL100匹配的流量为感兴趣流量

Routrt1(config)#set peer 211.195.161.55            指定与211.195.161.55建立ipsec对等体
Routrt1(config)#set transform-set {transformName}  调用的ipsec transform为之前配置的{transformName}

 

第六步.将crypt map应用于接口上
Routrt1(config)#interface S0/0
Routrt1(config)#crypto map {MapName}      映射ipsec配置到端口完成RA中的配置，RB中配置同RA中一样（对端IP和ACL改为RA所在网络和接口IP就可以了）

在R2上也使用相同的配置与R1建立对等体关系，然后建立ipsec-vpn，使用两端内网进行测试完成ipsec建立。

 

检查命令：

show crypto isakmp policy

show crypto ipsec transform-set

show crypto ipsec sa

show crypto map

show crypto isakmp peers