Cisco 路由器实现IPSEC VPN配置（站点到站点）

这次cisco路由器的试验，主要是完成IPSEC和VPN配置，从一个站点通过互联网访问另外一个站点。

目标：
分公司172.16.10.0/24，网络的主机可以通过VPN访问总部服务器10.10.33.0/24，但不能访问Internet
分公司的其它客户端(172.16.0.0/24)可以访问Internet 。

实验设备：
1、Cisco路由器（IOS为12.4）。
2、客户机3台，IP地址，见拓扑图，F0/0连接外网。
 
实验步骤：
 
R1上的配置
Router(config)#hostname R1
R1(config)#int f0/0
R1(config-if)#ip add 100.0.0.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int f0/1
R1(config-if)#ip add 172.16.10.254 255.255.255.0
R1(config-if)#no sh
 
//配置默认路由
R1(config-if)#ip route 0.0.0.0 0.0.0.0 100.0.0.2
 
在IPSEC中，IKE被用来自动协商SA和密钥，如果被关闭用crypto isakmp enable启用
R1(config)#crypto isakmp policy 1     //建立IKE协商策略，编号为1
R1(config-isakmp)#encryption 3des    //设置加密使用的算法为3DES
R1(config-isakmp)#hash sha    //设置密钥认证的算法为sha
R1(config-isakmp)#authentication pre-share     //告诉router要先使用预共享密钥，手工指定
R1(config-isakmp)#group 2  
R1(config-isakmp)#lifetime 10000 //声明SA的生存时间为10000，超过后SA将重新协商
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 0 test address 100.0.0.2
//设置加密密钥为test，要求二端的密码相匹配，和对端地址(总部Router地址)
 
配置访问控制列表
注意：
当一个路由器接收到发往另一个路由器的内部网络报文时，IPSEC被启动，访问列表被用于确定哪些业务 将启动IKE和IPSEC协商
Crypto访问控制列表必须是互为镜像的，如：R1加密了所有流向R2的TCP流量，则R2必须加密流回R1的所有TCP流量
R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255
//定义从172.16.10.0网络发往10.10.33.0的报文全部加密
 
//配置IPSEC传输模式，用于定义VPN隧道的认证类型，完整性与负载加密
 
R1(config)#crypto ipsec transform-set vpn-set esp-des ah-sha-hmac
R1(cfg-crypto-trans)#mode tunnel //可选
R1(cfg-crypto-trans)#exit
R1(config)#crypto ipsec security-association lifetime seconds 1800 //定义生存周期1800秒