cisco ipsec vpn案例

 ×××主要分两种方式：
1、site-to site 站点到站点，多用于总部与分支办公室连接
2、access-vpn     远程访问×××，多用于移动用户与总部进行连接。

这次我做的是站点到站点与访问×××的结合，稍做改动就可以把服务切换到ACCESS ×××模式，具体步骤如下：

10.1.1.0 ---- Main Office   ----202------------------99-----Home Office -----192.168.1.0

总部：
crypto isakmp policy 1   //定义isakmp策略
   hash md5              //采用MD5，对数据进行完整性验证
   authentication pre-share   //采用pre-share认证方式

crypto isakmp key xxxxxx address 0.0.0.0 0.0.0.0 //指定密钥，同时指定对端可为任意IP

crypto ipsec transform-set xxxset esp-des esp-md5-hmac   //×××第二步，指定IPSec传输集，采用esp-des加密，MD5完整性验证

crypto dynamic-map xxxmap 10   //定义动态map，分支办公室IP不做限制
   set transform-set xxxset
   match address 185

crypto map xxxtrans 10 ipsec-isakmp dynamic xxxmap   //正规map

int f0/0 //内网接口
   ip ad 10.1.1.1 255.255.255.0
   ip nat inside
int f0/1   //外网接口
   ip ad 202.202.202.1 255.255.255.240
   ip nat outside
   crypto map xxxtrans    //应用map

ip route 0.0.0.0 0.0.0.0 int f0/1 //默认路由指向外网出口

ip nat pool tele 202.202.202.2 202.202.202.6 netmask 255.255.255.240
ip nat inside source route-map nonat pool tele overload   //路由策略指定进行具体NAT转换的数据

access-list 185 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255 //指定与分支办公室连接的IP数据流，符合条件的进行×××传输

access-list 190 deny ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255  
access-list 190 permit ip 10.1.1.0 0.0.0.255 any  
//指定与分支办公室连接的IP数据流，符合条件的进行NAT转换，第一句将到远程站点的访问否定了，不让其进行地址转换

route-map nonat permit 10 //定义route-map，为NAT转换服务
   match ip address 190




分支办公室：

crypto isakmp policy 1   //定义策略为1
   hash md5   //定义md5算法，完整性验证方法
   authentication pre-share   //定义为pre-share密钥认证方式

crypto isakmp key xxxxxx address 202.202.202.1   //定义pre-share密钥为xxxxxx，总部IP为202.202.202.1

crypto ipsec transform-set xxxset esp-des esp-md5-hmac   //创建变换集esp-des esp-md5-hmac，定义加密方式为des，完整性验证为md5

crypto map xxxmap 1 ipsec-isakmp   //创建正规map
   set peer 202.202.202.1   //定义总部IP
   set transform-set xxxset   //使用上面定义的变换集xxxset
   match address 185   //援引访问列表定义的敏感流量，即进行×××转换的流量

int f0/0
   ip ad 192.168.1.0 255.255.255.0
   ip nat inside

int f0/1
   ip ad 99.99.99.1 255.255.255.0   //这里很有可能是动态IP
   ip nat outside
   crypto map xxxmap

ip route 0.0.0.0 0.0.0.0 f0/1   //默认路由指向出口

access-list 185 permit ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255
// 指定需进行×××转换的数据流

access-list 190 deny ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 190 permit ip 192.168.1.0 0.0.0.255 any
// 指定需进行正常NAT转换的数据流，符合条件的直接从出口访问公网，不符合的不做NAT转换，直接进行×××加密并输送至公司总部端

route-map nonat permit 10
   match ip address 190


vpdn enable   //以下是ADSL拨号配置

int f0/1
   pppoe enable
   pppoe-client dialer-pool-number 1 //定义dialer-pool

int dialer1
   mtu 1492             //×××连接中许多问题是MTU造成的
   ip address negotiated   //IP地址与对端协商，ISP随机提供动态IP
   encapsulation ppp
   dialer pool 1 //引用dialer pool
   dialer-group 1 //引用敏感流量，符合条件的触发ADSL拨号
   ppp authentication pap callin   //定义pap明文密码传输
   ppp pap sent-username xxxx2223030 password 7 ******

dialer-list 1 protocol ip permit //定义敏感流量，这里为所有流量