一、Cisco路由器配置

1、设定加密的数据,实验设定所有IP流量

access-list 100 permit ip any any

2、设定ISAKMP策略,策略设定参数参考Server 2003中的IKE设定参数,查看通过“Cisco属性”,点击“高级”查看。

IPSec 之 Server2003&Cisco路由器(3)

crypto isakmp policy 1

encr 3des

hash md5

authentication pre-share

group 2

lifetime 28800

3、配置IKE协商身份验证的预共享**

crypto isakmp key cisco address 192.168.100.200

4、设置IPSec 转换集,参数参考Server 2003中的设定,模式为传输模式

crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac

mode transport

5、设定crypto map关联以上设定

crypto map server03 1 ipsec-isakmp

set peer 192.168.100.200

set transform-set ESP-3DES-SHA1

match address 100

5、将crypto map应用到端口

interface Ethernet0/0

ip address 192.168.100.2 255.255.255.0

half-duplex

crypto map server03

至此,实验配置完成!

二、验证

1、 互ping,成功。

2、 查看server 2003中,管理控制台“IP安全监视器”,“活动策略”、“主模式”以及“快速模式”中相关内容及参数。

3、 R1上进行一下验证:

R1#show crypto isakmp sa

dst src state conn-id slot status

192.168.100.2 192.168.100.200 QM_IDLE 1 0 ACTIVE

R1#show crypto ipsec sa

interface: Ethernet0/0

Crypto map tag: server03, local addr 192.168.100.2

protected vrf: (none)

local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

current_peer 192.168.100.200 port 500

PERMIT, flags={origin_is_acl,}

四、实验成功!