一、拓扑图
*配置一:cisco-cisco配置ipsec
*配置二:cisco-windows2008配置ipsec
二、cisco-cisco ipsec配置
R1# sh run
Building configuration...
Current configuration : 1832 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
ip subnet-zero
no ip icmp rate-limit unreachable
!
!
ip cef
ip tcp synwait-time 5
no ip domain lookup
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
lifetime 28800
crypto isakmp key pReKeY address 10.1.2.1
!
!
crypto ipsec transform-set transet esp-3des esp-md5-hmac
mode transport
!
crypto map map1 1 ipsec-isakmp
set peer 10.1.2.1
set transform-set transet
match address 100
!
!
!
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex half
!
interface Serial1/0
ip address 10.1.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
serial restart-delay 0
crypto map map1
!
interface Serial1/1
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/3
no ip address
shutdown
serial restart-delay 0
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial1/0
!
no ip http server
no ip http secure-server
!
ip nat inside source list 101 interface Serial1/0 overload
!
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
no cdp log mismatch duplex
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
!
!
end
R1#
三、cisco-windows2008 ipsec配置
*两个局域网的网关设备分别是R1和Win2008
1. 开启win2008的NAT(路由和远程访问)
2. 打开本地安全策略,添加IP安全策略
3. 依次添加IP筛选器(双向)和筛选器操作
3.1 创建IP筛选器一,左至右
3.2 创建IP筛选器一,右至左
3.3 创建筛选器操作
3.4 创建IP筛选器规则
3.5 IP筛选器属性
4. 应用IP策略
5. 开启IPSEC审核查看结果
6. 测试结果
6.1 互PING、show结果
6.2 事件查看器+防火墙记录
6.3 事件查看器详细内容
已建立 IPSec 快速模式安全关联。
本地终结点:
网络地址: 192.168.2.0
网络地址掩码: 255.255.255.0
端口: 0
隧道终结点: 10.1.2.1
远程终结点:
网络地址: 192.168.1.0
网络地址掩码: 255.255.255.0
端口: 0
专用地址: 0.0.0.0
隧道终结点: 10.1.1.1
协议: 0
密钥模块名称: -
加密信息:
完整性算法 - AH: -
完整性算法 - ESP: MD5
加密算法: 3DES
安全关联信息:
生存时间 - 秒: 3600
生存时间 - 数据: 4608000
生存时间 - 数据包: 2147483647
模式: 隧道
角色: 响应程序
快速模式筛选器 ID: 66922
主模式 SA ID: 113
快速模式 SA ID: 11
其他信息:
入站 SPI: 2881199904
出站 SPI: 3526004510
虚拟接口隧道 ID: 0
流量选择器 ID: 0