IPSec配置命令及IPSec应用的ACL和NAT应用的ACL的比较
2011-08-25 20:53
537 查看
拓扑图:
R1:
int f0/0
ip add 1.1.1.1 255.255.255.0
int s1/0
ip add 12.1.1.1 255.255.255.0
no shut
配置ipsec
1配置crypto policy
crypto isakmp policy 10(自己定义的)
encryption 3des(选择加密算法)
authentication pre-share(选择认证方式)
2配置crypto key
crypto isakmp key 0(选择等级) mykey(密码) address 23.1.1.2(peer ip address) 255.255.255.0(netmask)
3.配置ipsec transform-set
crypto ipsec transform-set mytransformset(起个名字) esp-3des esp-md5-hmac
4.设置access-list
access-list 101 permit ip 1.1.1.0 0.0.0.255 3.3.3.0 0.0.0.255 (定义感兴趣的数据流)
5.设置crypto map
crypto map mymap(名字) 10(设置序列号) ipsec-isakmp
set peer 23.1.1.2
set transform-set mytransformset
match address 101(access-list number)
6.在接口下调用crypto map
int s1/0
crypto map mymap
R2:
int s1/0
ip add 12.1.1.2 255.255.255.0
no shut
int s1/1
ip add 23.1.1.1 255.255.255.0
no shut
R3:
int s1/1
ip add 23.1.1.2 255.255.255.0
no shut
int f0/0
ip add 3.3.3.3 255.255.255.0
crypto isakmp policy 10
encryption 3des
authentication pre-share
crypto isakmp key 0 mykey address 12.1.1.1 255.255.255.0
crypto ipsec transform-set mytransformset esp-3des esp-md5-hmac
access-list 100 permit ip 3.3.3.0 0.0.0.255 1.1.1.0 0.0.0.255
crypto map mymap 10 ipsec-isakmp
set peer 12.1.1.1
set transform-set mytransformset
match address 100
int s1/1
crypto map mymap
特别注意:当在同一个路由器上既定义了NAT的ACL又定义了ipsec的acl时,nat的acl优先与ipsec的acl,所以我们在定义nat的acl时应该拒绝ipsec定义的感兴趣的流量的acl
例如:
在R1上做nat时应该这样做
access-list 101 deny ip 1.1.1.0 0.0.0.255 3.3.3.0 0.0.0.255
access-list 101 permit ip any any
int f0/0
ip nat inside
int s1/0
ip nat outside
ip nat inside source list 101 interface s1/0
如果不拒绝IPSec定义的感兴趣的数据流,ipsec就无法正常使用
本文出自 “黑色贝雷帽” 博客,请务必保留此出处http://heisebeileimao.blog.51cto.com/1539732/648908
R1:
int f0/0
ip add 1.1.1.1 255.255.255.0
int s1/0
ip add 12.1.1.1 255.255.255.0
no shut
配置ipsec
1配置crypto policy
crypto isakmp policy 10(自己定义的)
encryption 3des(选择加密算法)
authentication pre-share(选择认证方式)
2配置crypto key
crypto isakmp key 0(选择等级) mykey(密码) address 23.1.1.2(peer ip address) 255.255.255.0(netmask)
3.配置ipsec transform-set
crypto ipsec transform-set mytransformset(起个名字) esp-3des esp-md5-hmac
4.设置access-list
access-list 101 permit ip 1.1.1.0 0.0.0.255 3.3.3.0 0.0.0.255 (定义感兴趣的数据流)
5.设置crypto map
crypto map mymap(名字) 10(设置序列号) ipsec-isakmp
set peer 23.1.1.2
set transform-set mytransformset
match address 101(access-list number)
6.在接口下调用crypto map
int s1/0
crypto map mymap
R2:
int s1/0
ip add 12.1.1.2 255.255.255.0
no shut
int s1/1
ip add 23.1.1.1 255.255.255.0
no shut
R3:
int s1/1
ip add 23.1.1.2 255.255.255.0
no shut
int f0/0
ip add 3.3.3.3 255.255.255.0
crypto isakmp policy 10
encryption 3des
authentication pre-share
crypto isakmp key 0 mykey address 12.1.1.1 255.255.255.0
crypto ipsec transform-set mytransformset esp-3des esp-md5-hmac
access-list 100 permit ip 3.3.3.0 0.0.0.255 1.1.1.0 0.0.0.255
crypto map mymap 10 ipsec-isakmp
set peer 12.1.1.1
set transform-set mytransformset
match address 100
int s1/1
crypto map mymap
特别注意:当在同一个路由器上既定义了NAT的ACL又定义了ipsec的acl时,nat的acl优先与ipsec的acl,所以我们在定义nat的acl时应该拒绝ipsec定义的感兴趣的流量的acl
例如:
在R1上做nat时应该这样做
access-list 101 deny ip 1.1.1.0 0.0.0.255 3.3.3.0 0.0.0.255
access-list 101 permit ip any any
int f0/0
ip nat inside
int s1/0
ip nat outside
ip nat inside source list 101 interface s1/0
如果不拒绝IPSec定义的感兴趣的数据流,ipsec就无法正常使用
本文出自 “黑色贝雷帽” 博客,请务必保留此出处http://heisebeileimao.blog.51cto.com/1539732/648908
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- IPSEC+NAT+GRE+ACL+VOIP+SNMP配置
- Linux grep工具应用实例 精简配置文件 从系统管理命令输出中查找
- 比较全面的三层交换机配置实例(带命令解释哟!)
- Lvs之NAT、DR、TUN三种模式的应用配置案例
- 静态NAT、DHCP、标准ACL实验配置
- Linux Yum安装配置与安装命令应用
- 比较全面的三层交换机配置实例(带命令解释哟!)
- ACL,NAT和DHCP的使用和配置
- Lvs之NAT、DR、TUN三种模式的应用配置案例
- Lvs之NAT、DR、TUN三种模式的应用配置案例 推荐
- IPsec over GRE 和GRE over IPsec比较和区别与配置
- 路由器NAT的应用环境及其配置简介
- 集群LVS之NAT的应用配置
- ArrayList 与HashSet的比较,及应用反射读取properties配置文件中的数据进行实例化再调用,以及类加载器的使用;还有HashCode的分析,及导致内存泄露,内存溢出的原因之一
- 配置Router−to−Router Dynamic−to−Static IPSec with NAT
- Linux Yum安装配置与安装命令应用
- Win7-Vista如何配置 NAT-T 设备后面的 L2TP/IPsec 服务器
- H3C ACL应用到接口的几种命令
- 基本NAT配置命令与原理