这是第3部分的实验,以验证三种不同的方法 ipsec vpn身份验证方法:预共享密钥,RSA密钥和CA。前两部分已在以前的文章中列出。这是最后一部分-外部CA。

带有预共享密钥,RSA密钥或CA Part 1的Cisco IOU IPsec站点到站点VPN

带有预共享密钥,RSA密钥或CA Part 2的Cisco IOU IPsec站点到站点VPN

这次,我将使用CA签名的证书在两个Cisco路由器之间建立IPSec站点到VPN站点。拓扑与以前相同,IOS信息如下:

————————————————

R2#sh ver
思科公司 IOS软件,2600软件(C2691-ADVSECURITYK9-M),版本12.4(11)T2,发布软件(fc4)
Technical Support: http://www.cisco.com/techsupport
思科系统公司(c)1986-2007版权所有(c)。
由prod_rel_team编译于07年4月30日星期一16:48

ROM:ROMMON仿真微码
ROM:2600软件(C2691-ADVSECURITYK9-M),版本12.4(11)T2,发布软件(fc4)

R2正常运行时间为9分钟
系统因未知的重载原因返回ROM –可疑的boot_data [BOOT_COUNT] 0x0,BOOT_COUNT 0,BOOTDATA 19
系统于世界标准时间22:40:33 UTC Tue Feb 28 2012重新启动
System image file is “tftp://255.255.255.255/unknown”

此产品包含密码功能,并受美国
有关进出口,转让和
采用。思科密码产品的交付并不意味着
导入,导出,分发或使用加密的第三方权限。
进口商,出口商,分​​销商和用户负责
符合美国和当地国家/地区的法律。通过使用该产品,您
同意遵守适用的法律和法规。如果您无法
遵守美国和当地法律,请立即退货。

有关管理思科密码产品的美国法律摘要,请访问:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

如果您需要进一步的帮助,请发送电子邮件至
[电子邮件 protected]

具有124928K / 6144K字节内存的Cisco 2691(R7000)处理器(修订版0.1)。
处理器板ID ZZZZZZZZZXXXX
R7000 CPU(160MHz),实施39,版本2.1,256KB L2,512KB L3缓存
18个FastEthernet接口
6个串行(同步/异步)接口
DRAM配置为64位宽且启用了奇偶校验。
55K字节的NVRAM。
ATA系统CompactFlash的16384K字节(读/写)

配置寄存器为0x2102

————————————————

XCA将用于为CA,R1和R2生成私钥和证书。

步骤1:使用 XCA 创建一个新的CA

一种。安装XCA之后,使用密码创建一个新数据库。
b。点击新证书:

 C。更改主题并生成新的私钥

 d。单击确定以生成新的CA,如以下屏幕截图所示。

步骤2:为两个路由器创建CSR:

步骤3:签署CSR以获得认证:

步骤4:以PKCS#12格式导出证书。您将获得R1.p12和R2.p12文件:

步骤5:将认证导入每个路由器

R1(配置)#加密PKI Trustpoint CA-VPN
R1(ca-trustpoint)#吊销检查无

R1(配置)#crypto ca导入CA-VPN pkcs12 tftp:思科

%导入pkcs12…
远程主机的地址或名称[]? 1.1.1.1
源文件名[trustpoint]? R1.p12
Reading file from tftp://1.1.1.1/R1.p12
从1.1.1.1加载R1.p12(通过FastEthernet0 / 0):!
[确定– 1245个字节]

CRYPTO_PKI:导入的PKCS12文件成功

步骤6:验证并测试:

显示加密的PKI信任点
显示加密的pki证书

R2#ping 1.1.1.1源2.2.2.2

键入转义序列以中止。
向1.1.1.1发送5个100字节的ICMP Echo,超时为2秒:
发送的源地址为2.2.2.2的数据包
!!!!!
成功率是100%(5/5),往返最小/平均/最大= 4/16/44毫秒
R2#显示加密ipsec sa

接口:串行0/0
    Crypto map tag: P1-P2-Map, 本地addr 12.1.1.2

   受保护的vrf :(无)
   local  ident(地址/掩码/保护/端口):(2.2.2.0/255.255.255.0/0/0)
   远程标识(addr / mask / prot / port):(1.1.1.0/255.255.255.0/0/0)
   current_peer 12.1.1.1端口500
     PERMIT,标志= {origin_is_acl,}
   #pkts封装:9,#pkts加密:9,#pkts摘要:9
   #pkts上限:9,#pkts解密:9,#pkts验证:9
   #pkts压缩:0,#pkts解压缩:0
   #pkts未压缩:0,#pkts compr。失败:0
   #pkts未解压缩:0,#pkts解压缩失败:0
   #发送错误1,#接收错误0

     本地加密端点:12.1.1.2,远程加密端点:12.1.1.1
     路径mtu 1500,ip mtu 1500,ip mtu idb Serial0 / 0
     当前出站spi:0xCDFDE82C(3455969324)

     inbound esp sas:
     spi:0xD5799FF1(3581517809)
       转换:esp-des esp-sha-hmac,
       使用设置= {Tunnel,}
       conn id:3,flow_id:3,加密映射:P1-P2-Map
       计时:剩余密钥有效期(k / sec):(4603613/2710)
        IV size: 8 bytes
       重放检测支持:是
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
     spi:0xCDFDE82C(3455969324)
       转换:esp-des esp-sha-hmac,
       使用设置= {Tunnel,}
       conn id:4,flow_id:4,加密映射:P1-P2-Map
       计时:剩余密钥有效期(k / sec):(4603613/2709)
        IV size: 8 bytes
       重放检测支持:是
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:
R2#


R2#ping 1.1.1.1源2.2.2.2

键入转义序列以中止。
向1.1.1.1发送5个100字节的ICMP Echo,超时为2秒:
发送的源地址为2.2.2.2的数据包

2月28日23:03:53.243:ISAKMP:(0):SA请求配置文件为(NULL)
2月28日23:03:53.247:ISAKMP:为12.1.1.1(对等端口500)创建了对等结构
2月28日23:03:53.247:ISAKMP:创建了新对等体peer = 0x64937F58 peer_handle = 0x80000004
2月28日23:03:53.251:ISAKMP:锁定对等结构0x64937F58,isakmp_initiator的引用计数1
Feb 28 23:03:53.251: ISAKMP: 本地port 500, remote port 500
2月28日23:03:53.255:ISAKMP:将新节点0设置为QM_IDLE
2月28日23:03:53.255:ISAKMP:在调用isadb_insert sa = 6418E444的过程中在avl树中找到一个dup sa
2月28日23:03:53.259:ISAKMP:(0):无法启动积极模式,尝试进入主模式。
2月28日23:03:53.263:ISAKMP:(0):没有12.1.1.1的预共享密钥!
2月28日23:03:53.267:ISAKMP:(0):构造的NAT-T供应商-07 ID
2月28日23:03:53.271:ISAKMP:(0):构造的NAT-T供应商-03 ID
2月28日23:03:53.271:ISAKMP:(0):构造的NAT-T供应商-02 ID
2月28日23:03:53.275:ISAKMP:(0):输入= IKE_MESG_FROM_IPSEC,IKE_SA_REQ_MM
2月28日23:03:53.275:ISAKMP:(0):旧状态= IKE_READY 新状态= IKE_I_MM1

2月28日23:03:53.279:ISAKMP:(0):开始主模式交换
2月28日23:03:53.283:ISAKMP:(0):将数据包发送到12.1.1.1 my_port 500 peer_port 500(I)MM_NO_STATE
2月28日23:03:53.283:ISAKMP:(0):发送IKE IPv4数据包。
2月28日23:03:53.367:ISAKMP(0:0):从12.1.1.1 dport 500 sport 500 Global(I)收到的数据包MM_NO_STATE
2月28日23:03:53.375:ISAKMP:(0):输入= IKE_MESG_FROM_PEER,IKE_MM_EXCH
2月28日23:03:53.375:ISAKMP:(0):旧状态= IKE_I_MM1 新状态= IKE_I_MM2

2月28日23:03:53.387:ISAKMP:(0):正在处理SA有效负载。消息ID = 0
2月28日23:03:53.391:ISAKMP:(0):继续!!!!!
成功率为80%(4/5),往返最小/平均/最大= 12/56/140毫秒
R2#ssing供应商ID有效负载
2月28日23:03:53.391:ISAKMP:(0):供应商ID似乎是Unity / DPD,但主要245不匹配
2月28日23:03:53.395:ISAKMP(0:0):供应商ID为NAT-T v7
2月28日23:03:53.395:ISAKMP:正在扫描配置文件中的xauth…
2月28日23:03:53.399:ISAKMP:(0):根据优先级10策略检查ISAKMP转换1
2月28日23:03:53.399:ISAKMP:     encryption DES-CBC
2月28日23:03:53.399:ISAKMP:     hash SHA
2月28日23:03:53.40:ISAKMP:     default group 1
2月28日23:03:53.40:ISAKMP:     auth RSA sig
2月28日23:03:53.40:ISAKMP:     life type in seconds
2月28日23:03:53.40:ISAKMP:     的寿命(VPI)为 0x0 0x1 0x51 0x80
2月28日23:03:53.403:ISAKMP:(0):可接受的赔率。下一个有效载荷为0
2月28日23:03:53.403:ISAKMP:(0):处理供应商ID有效负载
2月28日23:03:53.403:ISAKMP:(0):供应商ID似乎是Unity / DPD,但主要245不匹配
2月28日23:03:53.407:ISAKMP(0:0):供应商ID为NAT-T v7
2月28日23:03:53.407:ISAKMP:(0):输入= IKE_MESG_INTERNAL,IKE_PROCESS_MAIN_MODE
2月28日23:03:53.407:ISAKMP:(0):旧状态= IKE_I_MM2 新状态= IKE_I_MM2

2月28日23:03:53.411:ISAKMP(0:0):为发行方构造CERT_REQ [电子邮件 protected],cn = IOUCA.test.com,ou = IT,o = GD,st = ON,c = CA
2月28日23:03:53.411:ISAKMP:(0):将数据包发送到12.1.1.1 my_port 500 peer_port 500(I)MM_SA_SETUP
2月28日23:03:53.411:ISAKMP:(0):发送IKE IPv4数据包。
2月28日23:03:53.411:ISAKMP:(0):输入= IKE_MESG_INTERNAL,IKE_PROCESS_COMPLETE
2月28日23:03:53.415:ISAKMP:(0):旧状态= IKE_I_MM2 新状态= IKE_I_MM3

2月28日23:03:53.507:ISAKMP(0:0):从12.1.1.1 dport 500 sport 500 Global(I)收到的数据包MM_SA_SETUP
2月28日23:03:53.515:ISAKMP:(0):输入= IKE_MESG_FROM_PEER,IKE_MM_EXCH
2月28日23:03:53.515:ISAKMP:(0):旧状态= IKE_I_MM3 新状态= IKE_I_MM4

2月28日23:03:53.527:ISAKMP:(0):处理KE有效负载。消息ID = 0
2月28日23:03:53.547:ISAKMP:(0):处理NONCE有效载荷。消息ID = 0
2月28日23:03:53.547:ISAKMP:(1003):处理CERT_REQ有效负载。消息ID = 0
2月28日23:03:53.551:ISAKMP:(1003): 对方需要CT_X509_SIGNATURE证书
2月28日23:03:53.555:ISAKMP:(1003):对等方希望由颁发证书 [电子邮件 protected],cn = IOUCA.test.com,ou = IT,o = GD,st = ON,c = CA
2月28日23:03:53.555: 选择信任点CA-VPN作为发行者
2月28日23:03:53.555:ISAKMP:(1003):处理供应商ID有效负载
2月28日23:03:53.555:ISAKMP:(1003):供应商ID为Unity
2月28日23:03:53.555:ISAKMP:(1003):处理供应商ID有效负载
2月28日23:03:53.555:ISAKMP:(1003):供应商ID为DPD
2月28日23:03:53.555:ISAKMP:(1003):处理供应商ID有效负载
2月28日23:03:53.555:ISAKMP:(1003):与另一个IOS盒子通话!
2月28日23:03:53.555:ISAKMP:(1003):输入= IKE_MESG_INTERNAL,IKE_PROCESS_MAIN_MODE
2月28日23:03:53.559:ISAKMP:(1003):旧状态= IKE_I_MM4 新状态= IKE_I_MM4

2月28日23:03:53.567:ISAKMP:(1003):发送初始联系人
2月28日23:03:53.583:ISAKMP:(1003):我的ID配置为IPv4地址,但是地址不在证书中!
2月28日23:03:53.583:ISAKMP:(1003):使用FQDN作为我的ID
2月28日23:03:53.583:ISAKMP:(1003):SA正在使用ID类型ID_FQDN执行R​​SA签名身份验证
2月28日23:03:53.583:ISAKMP(0:1003):ID有效负载
        next-payload : 6
        type         : 2
        FQDN name    : R2.gd.com
        protocol     : 17
        port         : 500
        length       : 17
2月28日23:03:53.583:ISAKMP:(1003):总有效载荷长度:17
2月28日23:03:53.587:ISAKMP(0:1003):构造用于 [电子邮件 protected],cn = R2.gd.com,ou = GD,o = IT,st = ON,c = CA
2月28日23:03:53.591:ISAKMP:(1003):使用EXAMPLE-VPN信任点的密钥对进行签名
2月28日23:03:53.643:ISAKMP:(1003):将数据包发送到12.1.1.1 my_port 500 peer_port 500(I)MM_KEY_EXCH
2月28日23:03:53.643:ISAKMP:(1003):发送IKE IPv4数据包。
2月28日23:03:53.647:ISAKMP:(1003):输入= IKE_MESG_INTERNAL,IKE_PROCESS_COMPLETE
2月28日23:03:53.647:ISAKMP:(1003):旧状态= IKE_I_MM4 新状态= IKE_I_MM5

2月28日23:03:53.811:ISAKMP(0:1003):从12.1.1.1 dport 500 sport 500 Global(I)收到的数据包MM_KEY_EXCH
2月28日23:03:53.819:ISAKMP:(1003):处理ID有效负载。消息ID = 0
2月28日23:03:53.819:ISAKMP(0:1003):ID有效负载
        next-payload : 6
        type         : 2
        FQDN name    : R1.gd.com
        protocol     : 17
        port         : 500
        length       : 17
2月28日23:03:53.827:ISAKMP:(0)::对等项匹配*无*配置文件
2月28日23:03:53.827:ISAKMP:(1003):正在处理CERT有效负载。消息ID = 0
2月28日23:03:53.831:ISAKMP:(1003):正在处理CT_X509_SIGNATURE证书
2月28日23:03:53.863:ISAKMP:(1003):未缓存对等方的pubkey
2月28日23:03:53.887:ISAKMP:(1003):OU = IT
2月28日23:03:53.887:ISAKMP:(0)::对等项匹配*无*配置文件
2月28日23:03:53.891:ISAKMP:(1003):处理SIG有效负载。消息ID = 0
2月28日23:03:53.895:ISAKMP:(1003):SA身份验证状态:
        authenticated
2月28日23:03:53.895:ISAKMP:(1003):SA已通过12.1.1.1认证
2月28日23:03:53.899:ISAKMP:尝试插入对等节点12.1.1.2/12.1.1.1/500/, 并成功插入64937F58。
2月28日23:03:53.903:ISAKMP:(1003):输入= IKE_MESG_FROM_PEER,IKE_MM_EXCH
2月28日23:03:53.903:ISAKMP:(1003):旧状态= IKE_I_MM5 新状态= IKE_I_MM6

2月28日23:03:53.911:ISAKMP:(1003):输入= IKE_MESG_INTERNAL,IKE_PROCESS_MAIN_MODE
2月28日23:03:53.911:ISAKMP:(1003):旧状态= IKE_I_MM6 新状态= IKE_I_MM6

2月28日23:03:53.915:ISAKMP:(1003):输入= IKE_MESG_INTERNAL,IKE_PROCESS_COMPLETE
2月28日23:03:53.915:ISAKMP:(1003):旧状态= IKE_I_MM6 新状态= IKE_P1_COMPLETE

2月28日23:03:53.919:ISAKMP:(1003):开始快速模式交换,M-ID为-1497599522
2月28日23:03:53.923:ISAKMP:(1003):QM发起方获取SPI
2月28日23:03:53.927:ISAKMP:(1003):将数据包发送到12.1.1.1 my_port 500 peer_port 500(I)QM_IDLE
2月28日23:03:53.927:ISAKMP:(1003):发送IKE IPv4数据包。
2月28日23:03:53.931:ISAKMP:(1003):节点-1497599522,输入= IKE_MESG_INTERNAL,IKE_INIT_QM
2月28日23:03:53.931:ISAKMP:(1003):旧状态= IKE_QM_READY 新状态= IKE_QM_I_QM1
2月28日23:03:53.935:ISAKMP:(1003):输入= IKE_MESG_INTERNAL,IKE_PHASE1_COMPLETE
2月28日23:03:53.939:ISAKMP:(1003):旧状态= IKE_P1_COMPLETE 新状态= IKE_P1_COMPLETE

2月28日23:03:53.983:ISAKMP(0:1003):从12.1.1.1 dport 500 sport 500 Global(I)QM_IDLE接收到数据包
2月28日23:03:53.995:ISAKMP:(1003):正在处理HASH有效负载。消息ID = -1497599522
2月28日23:03:53.995:ISAKMP:(1003):正在处理SA有效负载。消息ID = -1497599522
2月28日23:03:53.999:ISAKMP:(1003):正在检查IPSec提议1
2月28日23:03:53.999:ISAKMP:transform 1, ESP_DES
2月28日23:03:53.999:ISAKMP: 转换中的属性:
2月28日23:03:54.003:ISAKMP:     encaps is 1 (Tunnel)
2月28日23:03:54.003:ISAKMP:     SA生活类型(以秒为单位)
2月28日23:03:54.003:ISAKMP:     SA寿命(基本)为3600
2月28日23:03:54.007:ISAKMP:     SA生活类型(以千字节为单位)
2月28日23:03:54.007:ISAKMP:     SA的持续时间(VPI)为 0x0 0x46 0x50 0x0
2月28日23:03:54.011:ISAKMP:     验证者是HMAC-SHA
2月28日23:03:54.015:ISAKMP:(1003):atts是可以接受的。
2月28日23:03:54.019:ISAKMP:(1003):处理NONCE有效载荷。消息ID = -1497599522
2月28日23:03:54.023:ISAKMP:(1003):处理ID有效载荷。消息ID = -1497599522
2月28日23:03:54.023:ISAKMP:(1003):处理ID有效载荷。消息ID = -1497599522
2月28日23:03:54.039:ISAKMP:(1003): Creating IPSec SAs
2月28日23:03:54.039:       入站SA从12.1.1.1到12.1.1.2(f / i) 0/ 0
       (代理1.1.1.0至2.2.2.0)
2月28日23:03:54.039:       具有spi 0x2F50201E和conn_id 0
2月28日23:03:54.039:       寿命3600秒
2月28日23:03:54.039:       使用寿命4608000千字节
2月28日23:03:54.039:       出站SA从12.1.1.2到12.1.1.1(f / i)0/0
       (代理2.2.2.0至1.1.1.0)
2月28日23:03:54.039:        has spi  0x9FC207B5和conn_id 0
2月28日23:03:54.039:       寿命3600秒
2月28日23:03:54.039:       使用寿命4608000千字节
2月28日23:03:54.043:ISAKMP:(1003):将数据包发送到12.1.1.1 my_port 500 peer_port 500(I)QM_IDLE
2月28日23:03:54.043:ISAKMP:(1003):发送IKE IPv4数据包。
2月28日23:03:54.047:ISAKMP:(1003):正在删除节点-1497599522错误假原因“无错误”
2月28日23:03:54.051:ISAKMP:(1003):节点-1497599522,输入= IKE_MESG_FROM_PEER,IKE_QM_EXCH
2月28日23:03:54.055:ISAKMP:(1003):旧状态= IKE_QM_I_QM1 新状态= IKE_QM_PHASE2_COMPLETE

R1#sh运行
建筑配置…

当前配置:5322字节
!
!上次配置更改时间为UTC时间2012年2月28日星期二22:41:38
! NVRAM配置最后更新时间为UTC时间2012年2月28日22:41:39
!
版本12.4
服务时间戳调试日期时间毫秒
服务时间戳记日志日期时间毫秒
无服务密码加密
!
主机名R1
!
引导开始标记
引导结束标记
!
!
没有aaa新型
内存大小iomem 5
ip cef
!
!
!
!
ip域名gd.com
!
多链路捆绑名称已认证
!
!
加密PKI Trustpoint CA-VPN
 吊销检查无
 rsakeypair CA-VPN
!
!
加密pki证书链CA-VPN
 certificate 02
 30820242 308201AB A0030201 02020102 300D0609 2A864886 F70D0101 05050030
 6C310B30 09060355 04061302 4341310B 30090603 55040813 024F4E31 0B300906
 0355040A 13024744 310B3009 06035504 0B130249 54311730 15060355 0403130E
 494F5543 412E7465 73742E63 6F6D311D 301B0609 2A864886 F70D0109 01160E61
 646D696E 40746573 742E636F 6D301E17 0D313230 32323631 32303530 305A170D
 31333032 32363132 30353030 5A306231 0B300906 03550406 13024341 310B3009
 06035504 0813024F 4E310B30 09060355 040A1302 4744310B 30090603 55040B13
 02495431 12301006 03550403 13095231 2E67642E 636F6D31 18301606 092A8648
 86F70D01 09011609 52314067 642E636F 6D30819F 300D0609 2A864886 F70D0101
 01050003 818D0030 81890281 8100CA0A 54AE595E 801B2C6A A17BD53E EB2DCFE2
 6024860B 5129AEDA D47D275E F734EA92 2F10CBC2 F85CCBD0 306AA185 EA754449
 6DF36140 FCC22B15 75F8D037 F937381F 8FA7A21E 58659BD4 CCC1EEA5 5DB1F974
 3B6A7AD5 A7EF3210 3F89ED90 83E5B664 415B2BD9 F897C6C3 5006F5EF AD66476B
 D6612696 70488749 3EF15737 8AF30203 01000130 0D06092A 864886F7 0D010105
 05000381 8100A469 1FCF0C5B 270CFD73 20FBA365 7BF161DD D067D56C AEB9AA75
 A8726E7B D0D98A71 686723A7 3A11FAD5 A270A6D8 ECDABBFE 3508FD2D 98D9363D
 A4C825FE A0316093 25F0B74E FB338E88 A76F9FB8 DCE2AD64 8D36D8BA 6D38A247
 9B41D785 6D6C4568 696B740A EC3564C4 13E6E010 C745D1C2 9BA2C3C7 32DF393B
  0CC89CDB DDB1
  quit
 certificate ca 01
 3082028D 308201F6 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
 6C310B30 09060355 04061302 4341310B 30090603 55040813 024F4E31 0B300906
 0355040A 13024744 310B3009 06035504 0B130249 54311730 15060355 0403130E
 494F5543 412E7465 73742E63 6F6D311D 301B0609 2A864886 F70D0109 01160E61
 646D696E 40746573 742E636F 6D301E17 0D313230 32323631 31343230 305A170D
 32323032 32363131 34323030 5A306C31 0B300906 03550406 13024341 310B3009
 06035504 0813024F 4E310B30 09060355 040A1302 4744310B 30090603 55040B13
 02495431 17301506 03550403 130E494F 5543412E 74657374 2E636F6D 311D301B
 06092A86 4886F70D 01090116 0E61646D 696E4074 6573742E 636F6D30 819F300D
 06092A86 4886F70D 01010105 0003818D 00308189 02818100 D9212BBE A32192CA
 8D70EB0E AEDFA75C EA8C9246 2DE029C2 F49437CD 68A642B3 BFE6C8D0 5690A00B
 A1754E59 0D325D14 5559C2B6 1F9E4B25 84833FF8 E6655095 5F1145AF 950F4268
 025A1BED 963A62AA 8E3097B0 617683AB 1B9F2BC4 795E9FDA 2D75A45B E8189352
 EB6830C2 9DC5ECF6 36FD17E0 229CCF87 57042DE7 1EF0AE67 02030100 01A33F30
 3D300F06 03551D13 0101FF04 05300301 01FF301D 0603551D 0E041604 14E1EDA6
 1FF8FD33 EAB1F0CE 68A3003C 0A33EB05 D3300B06 03551D0F 04040302 0106300D
 06092A86 4886F70D 01010505 00038181 00878CFA 9EE53C82 9870147C 7CCC2495
 071E6F25 56A5D0BA 94FA3BCE D429E02C 443B1830 762AE21A AAA9A809 CA1F534E
 7396AC3B 98983729 08974DB3 849173CC 640F4E48 8A664153 D42987FD CD46874B
 90090B32 36086E9D F39FF6B8 5EB0030D CDD4BEEA 4249C6EB ED09061F 881C7C23
 07CEE9A3 331091C6 7C8F4616 959844E4 85
  quit
!
!
!
!
!
crypto isakmp策略10
!
!
加密ipsec变换集P2-变换esp-des esp-sha-hmac
!
加密映射P2-Transform 10 ipsec-isakmp
 set peer 12.1.1.2
 设置变换集P2-变换
 匹配地址acl_vpn
!
接口Loopback0
 IP地址1.1.1.1 255.255.255.0
!
接口Serial0 / 0
 IP地址12.1.1.1 255.255.255.0
 no fair-queue
 clock rate 2000000
 加密映射P2-Transform
!
接口FastEthernet1 / 0
 no switchport
 IP地址10.50.2.100 255.255.255.0
!
接口FastEthernet1 / 1
!

接口Vlan1
 no ip address
!
ip路由0.0.0.0 0.0.0.0 10.50.2.1
ip路由2.2.2.0 255.255.255.0 12.1.1.2
!
!
ip http服务器
没有IP HTTP安全服务器
!
ip访问列表扩展acl_vpn
 许可ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

!
控制平面
!
!
!
线骗子0
辅助线0
行vty 0 4
!
ntp大师
!
结束

R1#

通过 约翰

关于“使用外部第三方CA(XCA)的Cisco IOU IPsec站点到站点VPN –第3部分”的想法

发表评论