IPsecVPN配置教程

在项目中遇到一个关于IPsecVPN的问题，这种场景并不是很常见。翻了一下，找到之前做过的测试数据，小编分享一下。也考考大家，看看有没有人能想到更好的解决方案(当然是有替代方案的，可以自行测试一下)。

以下图为例，R1及OR是站点1的设备，OR是站点1的出口路由器;R2是站点2的出口路由器。及分别用于模拟站点1和站点2的内网。R2的FE0/0直接连接Internet公网，使用的IP地址为，其默认网关为。而站点1则比较特殊，出于节省公网IP地址的目的'，R1与出口路由器OR之间的互连链路采用私有IP地址段()。OR一个接口与R1对接，另一侧的接口则连接着Internet。

现在站点1也额外申请到一个公网IP地址，。要求在站点1与站点2之间建立IPsecVPN隧道，而且需在R1与R2上完成(可能OR路由器不支持IPSecVPN)。最终的需求是与要能够安全地互访。这里演示的方法是在R1上配置Loopback0接口，把公网地址放在这个接口上，然后R1(使用该公网地址)与R2建立IPsec隧道。这么做的一个好处是，OR没有NAT的压力。当然即使是这个原因，我们演示的场景依然是挺奇葩的，不是么。另一个方案是，OR部署Static NAT，将公网地址映射到，然后依然是在R1与R2上部署IPsec VPN，这种场景到是很常见，可自行测试。

【IPsecVPN】关于IPsecVPN的一个非常规场景

　　R1的配置如下：

#完成接口IP地址的配置：

interface Loopback0

ip address #将公司申请到的公网地址配置在Loopback0接口

interface Loopback1 #这个Loopback接口模拟本站点内网

ip address

interface FastEthernet0/0

ip address

#完成IPSec相关配置：

access-list 100 permit ip

crypto isakmp policy 1

authentication pre-share

group 2

exit

crypto isakmp key ccietea address

crypto ipsec transform-set myset esp-3des esp-sha-hmac

exit

crypto map mymap 1 ipsec-isakmp

match address 100

set peer

set transform-set myset

exit

#完成路由的配置：

ip route

ip route Loopback0

#将Crypto map应用在Loopback0接口：

interface Loopback0

crypto map mymap

注：在上述配置中，ip route Loopback0这条静态路由用于将到达对端内网的流量引到Loopback0接口，从而“触碰”到部署在Loopback0接口的Crypto map，进而匹配VPN调用的ACL100，触发IKE协商并最终建立IPSecVPN隧道。

　　R2的配置如下：

#完成接口IP地址的配置：

interface Loopback1 #这个Loopback接口模拟本站点内网

ip address

interface FastEthernet0/0

ip address

#完成IPSec相关配置：

access-list 100 permit ip

crypto isakmp policy 1

authentication pre-share

group 2

exit

crypto isakmp key ccietea address

crypto ipsec transform-set myset esp-3des esp-sha-hmac

exit

crypto map mymap 1 ipsec-isakmp

match address 100

set peer

set transform-set myset

exit

　　#完成路由的配置：

ip route

#将Crypto map应用在FE0/0接口：

interface FastEthernet0/0

crypto map mymap

注意，OR路由器的配置除了基本的接口IP地址配置、默认路由指向Internet之外，还需配置静态路由到达，使得Internet访问这个公网IP地址的流量能够抵达R1：

OR(config)#ip route x.x.x.x #默认路由指向Internet

OR(config)#ip route

完成上述配置后，在R1上执行如下操作：

R1#ping source

这个操作将触发双方IPSecVPN隧道的协商。完成协商后，在R1上查看IPSec SA：

R1#show crypto ipsec sa

interface: Loopback0

Crypto map tag: mymap, local addr

protected vrf: (none)

local ident (addr/mask/prot/port): ()

remote ident (addr/mask/prot/port): ()

current_peer port 500

PERMIT, flags={origin_is_acl,ipsec_sa_request_sent}

#pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9

#pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 0, #pkts compr. failed: 0

#pkts not decompressed: 0, #pkts decompress failed: 0

#send errors 1, #recv errors 0

local crypto endpt.: , remote crypto endpt.:

path mtu 1514, ip mtu 1514, ip mtu idb Loopback0

current outbound spi: 0x2C3824ED(741876973)

inbound esp sas:

spi: 0x159FD96C(362797420)

transform: esp-3des esp-sha-hmac ,

in use settings ={Tunnel, }

conn id: 2001, flow_id: SW:1, crypto map: mymap

sa timing: remaining key lifetime (k/sec): (4489149/3586)

IV size: 8 bytes

replay detection support: Y

Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas:

spi: 0x2C3824ED(741876973)

transform: esp-3des esp-sha-hmac ,

in use settings ={Tunnel, }

conn id: 2002, flow_id: SW:2, crypto map: mymap

sa timing: remaining key lifetime (k/sec): (4489149/3584)

IV size: 8 bytes

replay detection support: Y

Status: ACTIVE

outbound ah sas:

outbound pcp sas: