ipsec基本配置命令及解释

R3基本配置不展示：lookback 口的iP配置、接口ip、默认路由配置请自行完成。




R3(config)#crypto isakmp policy 100
启用策略100，第一阶段协商密钥交换的方式及双方初步验证。
R3(config-isakmp)#en 3des
加密算法3des
R3(config-isakmp)#authentication pre-share
预共享密钥(Hmac=预共享密钥+DH随机密钥)
R3(config-isakmp)#hash md5
哈希算法采用md5
R3(config-isakmp)#group 2
DH组为组2 （组1强度768位，组2强度1024位，bit）
R3(config-isakmp)#exit

R3(config)#crypto isakmp key 0 kinsman add 12.1.1.1
设置预共享密钥为“kinsman”，匹配对端公网地址“12.1.1.1”

R3(config)#crypto ipsec transform-set myset esp-3des esp-sha-hmac
具体的数据加密设置，命名为“myset”，esp加密采用3des，esp的完整性用sha和hamc
R3(cfg-crypto-trans)#mode tun
隧道模式，默认为隧道。
R3(cfg-crypto-trans)#exit

R3(config)#ip access-list extended vpn
设置感兴趣流的地址组
R3(config-ext-nacl)#permit ip host 3.3.3.3 host 1.1.1.1
感兴趣流
R3(config-ext-nacl)#exit

R3(config)#crypto map mymap 10 ipsec-isakmp
调用前面配置的参数
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
提示：只有双方端都配置好了才会启用
R3(config-crypto-map)#set peer 12.1.1.1
设置对端公网地址为对端
R3(config-crypto-map)#set transform-set myset
调用之前配置的数据加密方式、验证方式
R3(config-crypto-map)#match add vpn
匹配感兴趣流
R3(config-crypto-map)#exit

R3(config)#int f0/0
进入本地外口

R3(config-if)#crypto map mymap
本地外口上调用map。
ipsec的show crypto engine connection active 在触发时才会有数据信息，注意ping 包的时候一定要match 感兴趣流。



本文为R3的配置信息，为了达到启发和提点的作用不再做R1的配置，需要实验者，自己根据R3的配置对应去配置R1，R2只需要配置接口IP不做任何策略。