日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

在嘗試配置MPLSVPN之后失敗，我還是決定使用IPSec，一方面是感覺MPLS配置起來沒有參考，另一方面也發現IPsec功能性安全性也勝過MPLS-VPN，從網上找到一個對比圖，放在下面。

在畢業設計的基礎上，進行配置。拓撲圖如下：

網段配置：

核心路由器：與外網相連f 1/0：201.1.1.1/24；與內網相連：192.168.0.0/16

sub路由器：與外網相連g 0/0：201.4.4.2/24；與內網相連：192.168.4.0/24

一、配置IPSec打通隧道

首先在核心路由器上配置通道命令如下：

//配置ISAKMP策略
Router(config)#crypto isakmp policy 10//10為策略序列號（本地有效），取值范圍是1~10000，值越小，優先級越高
Router(config-isakmp)#authentication pre-share //驗證方式為預共享密鑰 
Router(config-isakmp)#encryption aes   //加密算法為aes
Router(config-isakmp)#hash sha//完整性校驗算法為sha
Router(config-isakmp)#group 5//5為DH密鑰組號，取值為1、2、5、6
Router(config-isakmp)#exit
Router(config)#crypto isakmp key 0 address 201.4.4.2 //配置Key  0表示密鑰使用明文，如果取值6表示密文， address 為對端的外網口地址
//定義傳輸集
Router(config)#crypto ipsec transform-set pass1 esp-aes esp-sha-hmac//pass1為該傳輸集的名稱，后面跟上傳輸集選項esp-des、ah-sha-hmac（ esp（加密頭部） 加密方式為aes 完整性校驗為sha）
//配置IPSec保護的數據流(ACL)
Router(config)#ip access-list extended xianlu1//定義一個擴展的ACL，命名為xianlu1
Router(config-ext-nacl)#permit ip 192.168.0.0 0.0.255.255 172.16.4.0 0.0.0.255//源IP地址為本地局域網的地址，目標為對端的局域網地址；定義ACL是為了明確這些數據流會通過隧道技術轉發
//配置加密映射
Router(config-crypto-map)#crypto map ser1 10 ipsec-isakmp //定義一個map（名為ser1）10為加密映射的序列號，取值1~65535，值越小，優先級越高
Router(config-crypto-map)#set transform-set pass1//關聯第二階段的策略，在加密映射中調用pass1這個傳輸集
Router(config-crypto-map)#set peer 201.4.4.2 //對端外網口地址
Router(config-crypto-map)#match address xianlu1 //調用ACL--xinalu1
Router(config-crypto-map)#ex
//應用加密映射到外網口
Router(config)#int f 1/0//應用加密映射到外網口
Router(config-if)#crypto map ser1
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

*****************======================********************

在另一臺1941中配置發現

Router(config)#crypto isakmp enable
^
% Invalid input detected at '^' marker.

解決辦法，命令license boot module c1900 technology-package securityk9

Router(config)# license boot module c1900 technology-package securityk9//啟用安全技術包
ACCEPT? [yes/no]: yes//接受最終用戶許可協議
Router#copy running-config startup-config//保存運行配置
Destination filename [startup-config]?
Building configuration...
[OK]
Router#reload//重新加載路由器以啟用安全許可證
Proceed with reload? [confirm]
########################################################################## [OK]

Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#crypto isakmp enable//問題解決！
Router(config)#

*****************======================********************

核心路由器：與外網相連f 1/0：201.1.1.1/24；與內網相連：192.168.0.0/16

sub路由器：與外網相連g 0/0：201.4.4.2/24；與內網相連：192.168.4.0/24

在另一臺sub路由器1941中配置相同的IPSEC命令如下：

第一階段（除了策略的序號外可以不同外，其他的驗證要和對端一致）
SH(config)#crypto isakmp policy 20 //使用20，只是為了驗證序號本地有效。也可以使用10
SH(config-isakmp)#authentication pre-share
SH(config-isakmp)#encryption aes
SH(config-isakmp)#hash sha
SH(config-isakmp)#group 5
SH(config-isakmp)#exit
SH(config)#crypto isakmp key 0 address 201.1.1.1
第二階段
SH(config)#crypto ipsec transform-set pass2 esp-aes esp-sha-hmac //驗證類型要與對端一致
SH(cfg-crypto-trans)#exit
SH(config)#ip access-list extended xianlu1 //定義ACL
SH(config-ext-nacl)#permit ip 172.16.4.0 0.0.0.255 192.168.0.0 0.0.255.255
SH(config)#crypto map ser1 10 ipsec-isakmp //名稱本地有效
SH(config-crypto-map)#set transform-set pass2 //關聯本地的第二階段策略
SH(config-crypto-map)#set peer 201.1.1.1
SH(config-crypto-map)#match address xianlu1
SH(config-crypto-map)#exit
SH(config)#int g0/0
SH(config-if)#crypto map ser1 //應用

出來Sub地級園區網之外，還需要將配貨園區網連接到核心路由器

配貨中心路由器：與外網相連g 0/0：201.3.3.7/24；與內網相連：10.0.0.0/8

在核心路由器添加新命令如下

Router(config)#crypto isakmp key 0 address 201.3.3.7
Router(config)#crypto ipsec transform-set pass2 esp-aes esp-sha-hmac
Router(config)#ip access-list extended xianlu2
Router(config-ext-nacl)#permit ip 192.168.0.0 0.0.255.255 10.0.0.0 0.255.255.255
Router(config-ext-nacl)#ex
Router(config)#crypto map ser2 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
Router(config-crypto-map)#set transform-set pass2
Router(config-crypto-map)#set peer 201.3.3.7
Router(config-crypto-map)#match address xianlu2
Router(config-crypto-map)#ex
Router(config)#int f 1/0
Router(config-if)#crypto map ser2
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

在配貨中心路由器上配置參考Sub核心路由器，命令如下：

Router(config)#crypto isakmp enable
Router(config)#crypto isakmp policy 20
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#encryption aes
Router(config-isakmp)#hash sha
Router(config-isakmp)#group 5
Router(config-isakmp)#ex
Router(config)#crypto isakmp key 0 address 201.1.1.1
Router(config)#crypto ipsec transform-set pass2 esp-aes esp-sha-hmac
Router(config)#ip access-list extended xianlu2
Router(config-ext-nacl)#permit ip 10.0.0.0 0.255.255.255 192.168.0.0 0.0.255.255
Router(config-ext-nacl)#ex
Router(config)#crypto map ser2 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
Router(config-crypto-map)#set transform-set pass2
Router(config-crypto-map)#set peer 201.1.1.1
Router(config-crypto-map)#match address xianlu2
Router(config-crypto-map)#ex
Router(config)#int g0/0
Router(config-if)#crypto map ser2
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

配置完成后測試如下：