400-877-3227

4008773227

108636278

爱快在线支持

Online Support

Ipsec爱快对接cisco实施案例

2018-05-29


案例一

 

一、网络拓扑:

image.png 

 

 

二、网络环境说明

Cisco 881路由器: wan:200.200.200.200 255.255.255.0

lan1:192.168.6.1 255.255.255.0

 

爱快路由:270版本

Wan1:100.100.100.100 255.255.255.0

Lan1:192.168.100.1 255.255.255.0

 

需求效果:

两端子网192.168.6.0与192.168.100.0网段通过ipsec VPN实现互通

 

 

三、配置说明

 

1、Cisco881路由

    

Building configuration...
Current configuration : 2286 bytes
Last configuration change at 16:00:49 GMT Wed Feb 8 2017
version 15.2
crypto isakmp policy 10                                                                   定义密钥的属性对应爱快IKE提议
encr 3des                                                                                          配置在建立连接时协商IKE使用的加密算法

hash md5                                                                                          配置在建立连接时协商IKE使用的三列算法

authentication pre-share                                                                  用预共享密钥PSK俩认证对等体是否合法

lifetime 10800                                                                                   存活时间对应爱快IKE存活时间
crypto isakmp key sanshi address 100.100.100.100                         配置预共享密钥参数和对端地址

                                       

 

crypto ipsec transform-set myset esp-3des esp-md5-hmac 
 mode tunnel                                                                                   配置ipsec传输集名称和参数 对应爱快ESP算法设置

image.png 

crypto map mymap 10 ipsec-isakmp 

set peer 100.100.100.100
set transform-set myset  

调用ipsec transform为之前设置的myset传输集  

 

match address ipsec                                                                        设置感兴趣流为匹配名为ipsec的acl

interface FastEthernet4  
description gw:200.200.200.1
ip address 200.200.200.200 255.255.255.0 
ip nat outside
crypto map mymap 将ipsec应用到该接口

interface Vlan1
ip address 192.168.6.1 255.255.255.0
ip nat inside
ip virtual-reassembly in:Cisco交换机本身的内网网段设置。

ip nat inside source list 110 interface FastEthernet4 overloa

access-list 110 deny   ip 192.168.6.0 0.0.0.255 192.168.100.0 0.0.0.255

access-list 110 permit ip 192.168.6.0 0.0.0.255 any

ACL里面192.168.6.0 0.0.0.255 192.168.100.0 0.0.0.255 不做nat转发。其他数据流量做nat转发

ip route 0.0.0.0 0.0.0.0 FastEthernet4 183.62.16.1
ip access-list extended ipsec  
permit ip 192.168.6.0 0.0.0.255 192.168.100.0 0.0.0.255
配置匹配的感兴趣流。定义需要进行加密走VPN隧道的流量

end


2、爱快路由设置

)0G@3F081W([WJ5BM83GOQQ.png 

感谢三石科技的无私奉献。

 


 

案例二

 

1、思科路由的页面配置

image.png 

 

2、爱快路由里面的配置

 

 image.png

 image.png

 

注意:

1、本地标识,可以为空

2、思科路由的“phase1 DH Group”,要选择Group2,对应爱快里面的IKE提议的“MODP1024”

3、加密算法、认证算法一定要一致,可以一端选择,一端自动协商。

(但是一定要选择两端都支持的方式,建议查看下,确认后选择)