IOS固定IP对固定IP用rsa-sign

2007-11-23 09:40:57

(192.168.2.1)R1(10.10.1.1)-----(10.10.1.2)R2(10.10.2.1)---------(10.10.2.2)R3(172.16.1.1)/24

一、R1

1、 crypto isakmp enable 启用ISAKMP/IKE

Crypto isakmp identity address 定义发送的身份为IP地址

Crypto isakmp policy 1 定义策略，即用于管理连接的策略

Authentication rsa-sig

2、hostname r1

Ip domain-name cisco.com

Crypto key generate rsa [general-keys / usage-keys ] [label lab] 生成密钥

3、 ip access-list extended vpnacl

Permit ip 192.168.2.0 0.0.0.255 172.16.1.0 0.0.0.255 定义需要保护的数据量

4、 ip route 0.0.0.0 0.0.0.0 10.10.1.2

5、 crypto ipsec transform-set r3 esp-md5-hmac esp-des 定义变换集即为保护方法

6、 crypto map tor3 100 ipsec-isakmp 定义保护流量应该转发给谁

Set peer 10.10.2.2

Set transform-set r3

Match address vpnacl

Mode tunnel

7、如果在出站接口上有ACL，则一定要为IPSEC协商过程中的未保护流量定义ACL

Access-list 102 permit udp host 10.10.2.2 host 10.10.1.1 eq 500

Access-list 102 permit esp host 10.10.2.2 host 10.10.1.1

Access-list 102 ip 172.16.1.0 0.0.0.255 192.168.2.0 0.0.0.255 此句可不要，因为从12.3以后的IOS不执行第二次ACL检查

Deny ip any any

8、在外部接口激活ACL和MAP

Int s1/0

Ip access-group 102 in

Crypto map tor3

二、R3上对应

定义一个CA

Crypto ca trustpoint ca_name

Enrollment url ca_url

Enrollment http-proxy IP port

下载CA自已的证书

Crypto ca authenticate ca_name

申请自己的证书

Crypto ca enroll ca_name

本文出自 “along” 博客，请务必保留此出处http://liyulong.blog.51cto.com/139287/51906

相关文章

文章评论