Experimental topology:
Purpose:
PC1 pings PC2
AR1 configure static route IP route-static 0.0.0.0 0 100.1.12.2
AR3 configure static route IP route-static 0.0.0.0 0 100.1.13.2
AR1 :
一.配置网络密钥交换提议
ike proposal 1
设置身份认证算法为:sha1
authentication-algorithm sha1
设置身份认证方式为(预共享密钥)pre-share
authentication-method pre-share
设置加密算法为:aes-cbs -128
encryption-algorithm aes-cbc-128
dh group2
二.配置ike对等体
ike peer jjj
配置传输模式为主模式(默认)
exchange-mode main
应用之前配置的ike 提议
ike proposal1
配置预共享密钥
pre-shared-key cipher 123
配置远程地址
emote-address 100.1.13.1
三.配置IPSec proposal
ipsec proposal jjj
配置安全协议的报文封装模式
encapsulation-mode tunnel (隧道模式)(默认)
指定ESP 协议参数
指定IPSec安全协议的认证算法
esp authentication-algorithm sha1
指定IPsec安全协议的加密算法
esp encryption-algorithm aes-128
四.使用高级acl抓取要使用IPSec加密的流量
acl 3000
rule 5 permit ip source 192.168.1.2 0 destination 192.168.2.2 0
五.配置IPSec安全策略
(配置名为jjj 策略号为 1 的 采用ike方式建立安全联盟的策略)
ipsec policy jjj 1 isakmp
security acl 3000 (指定受此策略保护的报文)
pfs dh-group2(在IKE阶段2协商中使用PFS (perfect forward security))
ike-peer jjj (指定ike peer )
proposal jjj (配置IPSec安全提议)
六.应用安全策略组
进入指定接口
iinterface g/0/0/1
ipsec policy jjj(应用jjj 策略)
AR3:
一.配置网络密钥交换提议
ike proposal 1
设置身份认证算法为:sha1
authentication-algorithm sha1
设置身份认证方式为(预共享密钥)pre-share
authentication-method pre-share
设置加密算法为:aes-cbs -128
encryption-algorithm aes-cbc-128
dh group2
二.配置ike对等体
ike peer jjj
配置传输模式为主模式(默认)
exchange-mode main
应用之前配置的ike 提议
ike proposal1
配置预共享密钥
pre-shared-key cipher 123
配置远程地址
emote-address 100.1.12.1
三.配置IPSec proposal
ipsec proposal jjj
配置安全协议的报文封装模式
encapsulation-mode tunnel (隧道模式)(默认)
指定ESP 协议参数
指定IPSec安全协议的认证算法
esp authentication-algorithm sha1
指定IPsec安全协议的加密算法
esp encryption-algorithm aes-128
四.使用高级acl抓取要使用IPSec加密的流量
acl 3000
rule 5 permit ip source 192.168.2.2 0 destination 192.168.1.2 0
五.配置IPSec安全策略
(配置名为jjj 策略号为 1 的 采用ike方式建立安全联盟的策略)
ipsec policy jjj 1 isakmp
security acl 3000 (指定受此策略保护的报文)
pfs dh-group2(在IKE阶段2协商中使用PFS (perfect forward security))
ike-peer jjj (指定ike peer )
proposal jjj (配置IPSec安全提议)
六.应用安全策略组
进入指定接口
iinterface g/0/0/0
ipsec policy jjj(应用jjj 策略)
Finally, pc1 and pc2 can ping each other
Packet traffic in two phases of IKE
It can be seen that the communication between pc1 and pc2 has been encrypted by ESP