Packet Tracer 5.2版 Site-to-site IPSec VPN 設定範例檔 (pt-ipsec.pkt)
摘要步驟如下: (以圖中的 IPSec-A 設定為例子)
1. 定義 "封包保護套餐" (Transform Sets)
!
crypto ipsec transform-set MOSTSECURE esp-aes 256 esp-sha-hmac
!
2. 定義 "封包保護機制腳本" (IPSec Crypto Map)
!
access-list 100 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
!
crypto map PT-IPSEC 1000 ipsec-isakmp
description Packet Tracer IPSEC Test Crypto Map
set peer 172.16.2.1
set pfs group5
set security-association lifetime seconds 120
set transform-set MOSTSECURE
match address 100
!
3. 定義 "VPN閘道器間交談過程" 的保護加密機制 (ISAKMP policy)
!
crypto isakmp policy 100
encr aes 256
authentication pre-share
group 5
lifetime 60
!
4. 定義身分認證專用金鑰 (ISAKMP Pre-share key)
!
crypto isakmp key samekey address 172.16.2.1
!
5. 啟用 "封包保護機制腳本" 在網路卡上
!
interface Serial0/0/0
ip address 172.16.1.1 255.255.255.252
crypto map PT-IPSEC
!
請問
回覆刪除PC1 ping 不到 ipsecA
如要可以reply可以下什麼?
我剛才確認過,這個 Packet Tracer 的範例,兩個Router LAN IP 從兩邊的 PC 都可以 PING 連線得到。
回覆刪除如果您指的是真實的 Router,我建議檢查一下 ACL,是否有正確將需要作加密的封包識別為 permit 。例如,這個範例裡面,IPSec-A 的 ACL 是:
access-list 100 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
意思就是,所有的封包只要來源地址 10.1.1.X,而且目的地是 10.2.2.Y 的,全部都 permit,也就是全部都作加密。
另外提醒,這個 ACL 和對應的 Crypto Map 都只需要分別定義 單向 就可以了,如同本範例的設定內容。
希望有幫助!
寫的很詳細,而且都有說明每項的定義,對我來說很有幫助
回覆刪除變的很好理解。謝謝
我很高興知道,這篇的內容對您有幫助!
刪除