如果您喜歡這裡的內容,記得分享到您的Facebook和Twitter上面所有的朋友們吧!


2009年10月2日 星期五

Site-to-site IPSec VPN 設定範例 (pt-ipsec.pkt), Packet Tracer 5.2版



Packet Tracer 5.2版 Site-to-site IPSec VPN 設定範例檔 (pt-ipsec.pkt)




摘要步驟如下: (以圖中的 IPSec-A 設定為例子)

1. 定義 "封包保護套餐" (Transform Sets)

!
crypto ipsec transform-set MOSTSECURE esp-aes 256 esp-sha-hmac
!

2. 定義 "封包保護機制腳本" (IPSec Crypto Map)

!
access-list 100 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
!
crypto map PT-IPSEC 1000 ipsec-isakmp 
 description Packet Tracer IPSEC Test Crypto Map
 set peer 172.16.2.1
 set pfs group5
 set security-association lifetime seconds 120
 set transform-set MOSTSECURE 
 match address 100
!

3. 定義 "VPN閘道器間交談過程" 的保護加密機制 (ISAKMP policy)

!
crypto isakmp policy 100
 encr aes 256
 authentication pre-share
 group 5
 lifetime 60
!

4. 定義身分認證專用金鑰 (ISAKMP Pre-share key)

!
crypto isakmp key samekey address 172.16.2.1
!

5. 啟用 "封包保護機制腳本" 在網路卡上

!
interface Serial0/0/0
 ip address 172.16.1.1 255.255.255.252
 crypto map PT-IPSEC
!
如果您喜歡這篇文章,不考慮試試Email訂閱嗎?


Related Posts with Thumbnails

4 則留言:

  1. 請問
    PC1 ping 不到 ipsecA

    如要可以reply可以下什麼?

    回覆刪除
  2. 我剛才確認過,這個 Packet Tracer 的範例,兩個Router LAN IP 從兩邊的 PC 都可以 PING 連線得到。

    如果您指的是真實的 Router,我建議檢查一下 ACL,是否有正確將需要作加密的封包識別為 permit 。例如,這個範例裡面,IPSec-A 的 ACL 是:

    access-list 100 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255

    意思就是,所有的封包只要來源地址 10.1.1.X,而且目的地是 10.2.2.Y 的,全部都 permit,也就是全部都作加密。

    另外提醒,這個 ACL 和對應的 Crypto Map 都只需要分別定義 單向 就可以了,如同本範例的設定內容。

    希望有幫助!

    回覆刪除
  3. 寫的很詳細,而且都有說明每項的定義,對我來說很有幫助
    變的很好理解。謝謝

    回覆刪除
    回覆
    1. 我很高興知道,這篇的內容對您有幫助!

      刪除

小技巧:也可以 匿名 留言!

經典熱門文章