銳捷裝置
一對多情況下,中心節點使用動態ipsec,來應對多個ipsec客戶端。分支節點使用靜態ipsec和中心節點建立連線
動態ipsec:
建立新的isakmp策略,數字表示優先順序,越小,優先順序越大。(一階段認證策略)
crypto isakmp policy 1
encryption 3des
authentication pre-share
hash md5
group 2
配置預金鑰金鑰,IPSEC客戶端金鑰相同,對端的IP是多數,使用 0.0.0.0 代表所有ipsec客戶端
crypto isakmp key 0 Test@123 address 0.0.0.0 0.0.0.0
配置ipsec加密轉換集,指定使用esp封裝des加密,md5檢測(二階段協商認證)
crypto ipsec transform-set myset esp-des esp-md5-hmac
配置動態ipsec加密圖,指定加密轉換集為myset(配置加密圖,並呼叫在介面上面)
crypto dynamic-map dymymap 1
set transform-set myset
將動態加密圖對映到靜態加密圖中
crypto map mymap 1 ipsec-isakmp dynamic dymymap
介面應用加密圖
int gi0/0
crypto map mymap
靜態ipsec(1):
需要加密特定流量,使用acl來匹配特定的流量
建立acl,匹配流量
ip access-list ex 101
permit ip 17.1.1.2 0.0.0.0 12.1.1.2 0.0.0.0
建立新的isakmp策略
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
!
crypto isakmp key 0 Test@123 address 12.1.1.2 255.255.255.248
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
配置靜態ipsec加密圖
crypto map mymap 10 ipsec-isakmp
match address 101
set peer 12.1.1.2
set transform-set myset
!
int gi 0/0
crypto map mymap
靜態ipsec(2):
不需要加密特定流量,預設該裝置所有介面都應用靜態加密圖,不需要在介面上面做配置。
建立新的isakmp策略
crypto isakmp policy 1
encryption 3des
authentication pre-share
hash md5
group 2
對端為需要建立ipsec連線的IP,即中心節點IP
crypto isakmp key 0 Test@123 address 12.1.1.2
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
建立ipsec配置檔案,指定加密轉換集為myset
crypto ipsec profile mymap
set transform-set myset