点到点IPSEC (cisco-cisco, cisco-windows)

一、拓扑图

*配置一：cisco-cisco配置ipsec
*配置二：cisco-windows2008配置ipsec

二、cisco-cisco ipsec配置

R1#  sh run
Building configuration...

Current configuration : 1832 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
ip subnet-zero
no ip icmp rate-limit unreachable
!
!
ip cef
ip tcp synwait-time 5
no ip domain lookup
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 lifetime 28800
crypto isakmp key pReKeY address 10.1.2.1
!
!
crypto ipsec transform-set transet esp-3des esp-md5-hmac
 mode transport
!
crypto map map1 1 ipsec-isakmp
 set peer 10.1.2.1
 set transform-set transet
 match address 100
!
!
!
!
interface FastEthernet0/0
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 duplex half
!
interface Serial1/0
 ip address 10.1.1.1 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 serial restart-delay 0
 crypto map map1
!
interface Serial1/1
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial1/2
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial1/3
 no ip address
 shutdown
 serial restart-delay 0
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial1/0
!
no ip http server
no ip http secure-server
!
ip nat inside source list 101 interface Serial1/0 overload
!
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
no cdp log mismatch duplex
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
 shutdown
!
!
line con 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
 stopbits 1
line aux 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
 stopbits 1
line vty 0 4
 login
!
!
end

R1#

三、cisco-windows2008 ipsec配置

*两个局域网的网关设备分别是R1和Win2008

1. 开启win2008的NAT（路由和远程访问）

2. 打开本地安全策略，添加IP安全策略

3. 依次添加IP筛选器（双向）和筛选器操作

3.1 创建IP筛选器一，左至右

3.2 创建IP筛选器一，右至左

3.3 创建筛选器操作

3.4 创建IP筛选器规则

3.5 IP筛选器属性

4. 应用IP策略

5. 开启IPSEC审核查看结果

6. 测试结果

6.1 互PING、show结果

6.2 事件查看器+防火墙记录

6.3 事件查看器详细内容

已建立 IPSec 快速模式安全关联。

本地终结点:
	网络地址:	192.168.2.0
	网络地址掩码:	255.255.255.0
	端口:			0
	隧道终结点:		10.1.2.1

远程终结点:
	网络地址:	192.168.1.0
	网络地址掩码:	255.255.255.0
	端口:			0
	专用地址:		0.0.0.0
	隧道终结点:		10.1.1.1
	协议:		0
	密钥模块名称:	-

加密信息:
	完整性算法 - AH:	-
	完整性算法 - ESP:	MD5
	加密算法:	3DES

安全关联信息:
	生存时间 - 秒:		3600
	生存时间 - 数据:		4608000
	生存时间 - 数据包:	2147483647
	模式:			隧道
	角色:			响应程序
	快速模式筛选器 ID:	66922
	主模式 SA ID:		113
	快速模式 SA ID:		11

其他信息:
	入站 SPI:		2881199904
	出站 SPI:		3526004510
	虚拟接口隧道 ID:		0
	流量选择器 ID:		0