锐捷设备
一对多情况下,中心节点使用动态ipsec,来应对多个ipsec客户端。分支节点使用静态ipsec和中心节点建立连接
动态ipsec:
创建新的isakmp策略,数字表示优先级,越小,优先级越大。(一阶段认证策略)
crypto isakmp policy 1
encryption 3des
authentication pre-share
hash md5
group 2
配置预密钥密钥,IPSEC客户端密钥相同,对端的IP是多数,使用 0.0.0.0 代表所有ipsec客户端
crypto isakmp key 0 Test@123 address 0.0.0.0 0.0.0.0
配置ipsec加密转换集,指定使用esp封装des加密,md5检测(二阶段协商认证)
crypto ipsec transform-set myset esp-des esp-md5-hmac
配置动态ipsec加密图,指定加密转换集为myset(配置加密图,并调用在接口上面)
crypto dynamic-map dymymap 1
set transform-set myset
将动态加密图映射到静态加密图中
crypto map mymap 1 ipsec-isakmp dynamic dymymap
接口应用加密图
int gi0/0
crypto map mymap
静态ipsec(1):
需要加密特定流量,使用acl来匹配特定的流量
创建acl,匹配流量
ip access-list ex 101
permit ip 17.1.1.2 0.0.0.0 12.1.1.2 0.0.0.0
创建新的isakmp策略
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
!
crypto isakmp key 0 Test@123 address 12.1.1.2 255.255.255.248
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
配置静态ipsec加密图
crypto map mymap 10 ipsec-isakmp
match address 101
set peer 12.1.1.2
set transform-set myset
!
int gi 0/0
crypto map mymap
静态ipsec(2):
不需要加密特定流量,默认该设备所有接口都应用静态加密图,不需要在接口上面做配置。
创建新的isakmp策略
crypto isakmp policy 1
encryption 3des
authentication pre-share
hash md5
group 2
对端为需要建立ipsec连接的IP,即中心节点IP
crypto isakmp key 0 Test@123 address 12.1.1.2
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
创建ipsec配置文件,指定加密转换集为myset
crypto ipsec profile mymap
set transform-set myset
标签:set,加密,0.0,crypto,isakmp,IPsec,ipsec From: https://www.cnblogs.com/Laken/p/18521836