艾泰与cisco做IPSEC VPN

3399IT网整理：文章是关于\”艾泰与cisco做IPSEC VPN\”的相关知识分享，希望可以帮到大家。 – 素材来源网络 编辑:小易。
一、Cisco（RouteB）配置1.CiscoACL配置（主要是为哪些流量做IPSec时引用）router(config)#access-list110permitIP192.168.11.00.0.0.255192.168.100.00.0.0.255router(config)#access-list110permitIP192.168.100.00.0.0.255192.168.11.00.0.0.2552.第一阶段IKE的配置i.使用与共享密钥进行身份验证，与共享密钥为cisco1122ii.加密算法：desiii.认证算法：md5iv.DH组：group2v.第一阶段SA有效期28800秒router(config)#cryptoisakmpenable #启用IKE(默认是启动的)router(config)#cryptoisakmppolicy100 #建立IKE策略,优先级为100router(config-isakmp)#authenticationpre-share #使用预共享的密码进行身份验证router(config-isakmp)#encryptiondes #使用des加密方式router(config-isakmp)#group2 #指定密钥位数，group2安全性更高，但更耗cpurouter(config-isakmp)#hashmd5 #指定hash算法为MD5(其他方式：sha，rsa)router(config-isakmp)#lifetime28880 #指定SA有效期时间。默认86400秒，两端要一致router(config)#cryptoisakmpkeycisco1122address192.168.0.124#配置预共享密钥（cisco要指定对方地址）3.IPSec第二阶段配置i.配置IPSec交换集：实际就是定义第二阶段的加密认证算法，后续引用加密算法：des；认证算法：md5；封装协议：ESProuter(config)#cryptoipsectransform-setabcesp-desesp-md5-hmac配置IPSec交换集abc这个名字可以随便取，两端的名字也可不一样，但其他参数要一致。ii.配置IPSec加密图：实际上就是标识对方的身份，哪些流量做IPSec，第二阶段SA生存期以及将上述交换集引用router(config)#cryptomapmymap100ipsec-isakmp #创建加密图mymap可自定义名称router(config-crypto-map)#matchaddress110 #用ACL来定义加密的通信router(config-crypto-map)#setpeer192.168.0.124 #标识对方路由器IP地址router(config-crypto-map)#settransform-setabc #指定加密图使用的IPSEC交换集router(config-crypto-map)#setsecurity-associationlifetime86400 #指定第二阶段SA生存期4.将加密图应用到接口上router(config)#interfaceethernet0/1 #进入WAN口router(config-if)#cryptomapmamap #将加密图应用到该接口5.配置NONAT：保证在访问IPSec对端网络192.168.11.0/24时不启用NAT，走IPSec隧道router(config)#nat(inside)0access-list1106.注意在Cisco上不要启用PFS二、UTT2512（RouterA）配置