以前写的都是将大家如何做IPsec×××两个站点之间的访问,今天教大家如何实现IPsec×××多站点之间的访问。因为在现实生活中应该很少只有两个站点进行访问的。
注:做IPsec×××多站点访问时要注意一下几点
1、站点之间的密钥要不同。假设路由A和路由B之间的秘钥就不能与路由A和路由C之间的秘钥相同。
2、感兴趣流量的序列号不同能相同,map图的序列号也不同相同。这是方便路由器自身的识别,当然其它路由也还是可以用这个序列号的,只要自身不重复就行。假设路由A的map图序列号分别是1与2,路由B的map图的序列号也可以用1和2。
由于路由配置都除了端口地址外都差不多,所以我就举出R1配置的过程做一下介绍
首先配置端口和默认路由,因为ISP的f1/0端口是添加的二层板所以可能会与R3路由的f0/0端口出现双工不匹配,在两端接口下只需要输入speed 100,然后输入duplex full配置双工就行。Speed的速率分10/100/1000你可以任选。
R1>en R1#conf t R1(config)#int fa0/1 R1(config-if)#ip add 192.168.10.1 255.255.255.0 R1(config-if)#no shut R1(config-if)#int fa0/0 R1(config-if)#ip add 10.1.1.1 255.255.255.0 R1(config-if)#no shut R1(config-if)#ip route 0.0.0.0 0.0.0.0 10.1.1.2
所有路由端口配置好后可以先用路由器测试一下有没有通,当然你也可以用VPCS客户机来测试。不过如果是第一次测试就用VPCS客户机的话它会丢很多数据包的所以要用-t常ping。(因为要花时间协商所以丢包多。)
至于详细的解释可以点击链接IPsec×××路由配置,里面有详解。
R1(config)#crypto isakmp policy 1 R1(config-isakmp)#hash sha R1(config-isakmp)#authentication pre-share R1(config-isakmp)#encryption 3des R1(config-isakmp)#lifetime 60 R1(config-isakmp)#group 2 R1(config-isakmp)#ex R1(config)#crypto isakmp key 0 123 address 11.1.1.1//注意对等体地址与key R1(config)#access-list 110 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 R1(config)#crypto isakmp key 0 abc address 12.1.1.1 R1(config)#access-list 120 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 R1(config)#crypto ipsec transform-set nj esp-3des esp-sha-hmac R1(cfg-crypto-trans)#mode tunnel R1(cfg-crypto-trans)#ex R1(config)#crypto map nj-map 1 ipsec-isakmp//配置map图注意序列号与应用感兴趣流量 % NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured. R1(config-crypto-map)#set peer 11.1.1.1 R1(config-crypto-map)#set transform-set nj R1(config-crypto-map)#match address 110 R1(config-crypto-map)#ex R1(config)#crypto map nj-map 2 ipsec-isakmp % NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured. R1(config-crypto-map)#set peer 12.1.1.1 R1(config-crypto-map)#set transform-set nj R1(config-crypto-map)#match address 120 R1(config-crypto-map)#ex R1(config)#int fa0/0//最后作用端口 R1(config-if)#crypto map nj-map R1(config-if)# *Mar 1 00:22:24.951: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
为VPCS配置地址
最后测试
IPsec ×××防火墙的多站点访问配置跟这差不多
