目录
IPsec VPN:主要用在两个局域网之间建立VPN隧道
配置IPsec VPN分两个阶段:
阶段一:管理连接
阶段二:数据连接
命令 (配置命令时不可带入注释)
阶段一:管理连接
conf t
crypto isakmp policy 1 //加密策略1
encryption des/3des/aes //对称加密算法
hash md5/sha //哈希值
group 1/2/5 //代表DH加密算法,1/2/5代表公钥私钥的长度
authentication pre-share //验证预共享密钥
lifetime //双方每隔多少时间重新生成密钥,单位秒,可不写,默认为86400
exit //上面没有密码没有密钥 只是确定一个方案
crypto isakmp key 预共享密钥 address 对方的公网IP
阶段二:数据连接
crypto ipsec transform-set 传输集名称 esp-des/des/aes esp-md5/sha-hmac
acc 100 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
//本地内网IP 反子网掩码 对方内网IP 反子网掩码
//最后做map映射
crypto map 映射名称 1 ipsec-isakmp
set peer 对方的公网IP
match address 100 //匹配上面acc 100的地址表,允许其在隧道1中传输
set transform-set 传输集名称
exit
//开启ipsec vpn
int f0/1 //该端口必须是外网端口
crypto map 映射名称
exit
注:
创建VPN隧道的两个阶段分别要在双方路由器上进行同样的配置。
即:相同的对称加密算法、非对称加密算法、哈希值、预共享密钥。但另一方在设置允许通过VPN隧道的acc地址表时,地址需互换。
查看命令
查看IPsec VPN阶段一的状态
show crypto isakmp sa
查看IPsec VPN阶段二的状态
show crypto ipsec sa
MTU为最大传输单元,表示以太网帧的负载能力。
在我国MTU值为1500,我国路由器设定的MTU也为1500。