【hezishijie】点对点IPSEC-VPN隧道技术

需求：如果总部和分公司没有申请专用数据专线，则利用互联网专线建立安全的VPN隧道，确保分公司内部网192.168.2.0/24网段通过互联网安全访问总部服务器。数据在互联网传输时必须提供安全的加密技术和认证技术，以确保数据传输的安全性。

必要条件流程路由：

加密点必须能够PING对方的加密点，要知道，到端到端通信点的接口是自己的加密点接口。通信点需要知道到另一端通信点的路径从自己的加密点路由器出去。

R1出口路由器配置： (分公司R2出口路由器配置思路与R1配置思路相同)

第一步：定义VPN感兴趣的流量，执行加密操作的位置

access-list 100 periphost 192 . 168 . 1 . 1 host 192 . 168 . 2 . 1

第二步，密钥框定义：定义预共享密钥认证，希望23.1.1.3在加密点发送密码、KKK。

R1(config)# crypto key ring key-hezi

R1(conf-key ring)# pre-shared-key address 23 . 1 . 1 . 3 key kk

第三步，定义身份认证框：在上面加入预定义的密钥身份认证策略，并定义一个说明谁进行了身份认证的小框。

R1(config)# crypto isakmp profile rz-hezi

R1(conf-isa-prof)# key ring key-hezi

R1(conf-isa-prof)# match identity address 23 . 1 . 1 . 3

收到23.1.1.3的IPSEC-vpn请求，为了认证她，认证方法是采用key-hezi的政策。

步骤4:定义IPSEC一级认证策略，加入同一个组，共享组内相同的P和G参数，运行DH算法，相互交换每个公钥，并生成相同的父密钥。此相同的父关键点生成三个子关键点。

R1(配置)# cry isakmp策略10

R1 (config-isakmp) #组2

R1 (config-isakmp) #散列MD5

R1(config-isakmp)# encryption des

R1(config-isakmp)# authentic ation pre-share

步骤5:配置第二阶段策略：

为了传输用户的实际数据流量，使用ESP头封装、DES加密、MD5密码散列

R1(config)# cry IPSec transform-set AAA esp-des esp-MD5-hmac

第六步：定义接口框：把之前定义的策略放在里面。

crypto map Jie kou-hezi 10 IPSec-isakmp

Set peer 23.1.1.3 //发起IPSEC协商渠道的人

放入Set transform-set AAA //第二阶段战略

放入set isakmp-profile rz-hezi//rz-heizi

Match address 100 //VPN感兴趣的流量、加密位置

步骤7:连接外部网络接口呼叫接口框：

R1(配置)# intf0/0

R1(config-if)# crypto map Jie kou-hezi

退刀