CCIE實驗分享L2LIPsec-tft每日頭條

　　實驗目的:

　　l掌握L2L IPsec-VPN的配置步驟

　　l掌握L2L IPsec-VPN的階段運行原理

　　實驗說明：

　　l通過此實驗練習，可以更好的掌握IPsec-VPN的實現原理以及工作場景

　　實驗環境：

　　l四台支持SPSERVICES的IOS的路由器

　　l直通線

　　實驗拓撲：

　　 CCIE實驗分享L2LIPsec-VPN實驗（CCIE實驗分享L2LIPsec-VPN實驗）(1)

　　實驗步驟：

　　PC(config)#interface f0/0

　　PC(config-if)#ip address 192.168.1.1 255.255.255.0

　　PC(config-if)#no shutdown

　　PC(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.254

　　SITE1(config)#interface f0/0

　　SITE1(config-if)#ip address 192.168.1.254 255.255.255.0

　　SITE1(config-if)#no shutdown

　　SITE1(config-if)#int f1/0

　　SITE1(config-if)#ip address 12.1.1.1 255.255.255.0

　　SITE1(config-if)#no shutdown

　　SITE1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.2

　　Internet(config)#interface f1/0

　　Internet(config-if)#ip address 12.1.1.2 255.255.255.0

　　Internet(config-if)#no shutdown

　　Internet(config-if)#int f1/1

　　Internet(config-if)#ip address 23.1.1.2 255.255.255.0

　　Internet(config-if)#no shutdown

　　SITE2(config)#interface f1/1

　　SITE2(config-if)#ip address 23.1.1.3 255.255.255.0

　　SITE2(config-if)#no shutdown

　　SITE2(config)#int lo 0

　　SITE2(config-if)#ip address 10.1.1.1 255.255.255.0

　　SITE2(config)#ip route 0.0.0.0 0.0.0.0 23.1.1.2

　　第一階段建立isakmp sa，需要來回6個包

　　SITE1(config)#crypto isakmp policy 10

　　SITE1(config-isakmp)#encryption 3des

　　SITE1(config-isakmp)#group 2

　　SITE1(config-isakmp)#authentication pre-share

　　SITE1(config-isakmp)#hash md5

　　第二階段建立ipsec sa，需要來回3個包

　　SITE1(config)#crypto isakmp key cisco address 23.1.1.3

　　SITE1(config)#crypto ipsec transform-set ccie esp-3des esp-md5-hmac

　　SITE1(cfg-crypto-trans)#mode tunnel

　　SITE1(config)#ip access-list extended test

　　SITE1(config-ext-nacl)#permit ip host 192.168.1.1 host 10.1.1.1

　　SITE1(config)#crypto map vpn 10 ipsec-isakmp

　　SITE1(config-crypto-map)#set peer 23.1.1.3

　　SITE1(config-crypto-map)#match address test

　　SITE1(config-crypto-map)#set transform-set ccie

　　SITE1(config)#int f1/0

　　SITE1(config-if)#crypto map vpn

　　SITE2(config)#crypto isakmp policy 10

　　SITE2(config-isakmp)#encryption 3des

　　SITE2(config-isakmp)#group 2

　　SITE2(config-isakmp)#authentication pre-share

　　SITE2(config-isakmp)#hash md5

　　SITE2(config)#crypto isakmp key cisco address 12.1.1.1

　　SITE2(config)#crypto ipsec transform-set ccie esp-3des esp-md5-hmac

　　SITE2(cfg-crypto-trans)#mode tunnel

　　SITE2(config)#ip access-list extended test

　　SITE2(config-ext-nacl)#permit ip host 10.1.1.1 host 192.168.1.1

　　SITE2(config)#crypto map vpn 10 ipsec-isakmp

　　SITE2(config-crypto-map)#set peer 12.1.1.1

　　SITE2(config-crypto-map)#match address test

　　SITE2(config-crypto-map)#set transform-set ccie

　　SITE2(config)#int f1/1

　　SITE2(config-if)#crypto map vpn

　　驗證：

　　PC#ping 10.1.1.1

　　Type escape sequence to abort.

　　Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:

　　.!!!!

　　Success rate is 80 percent (4/5), round-trip min/avg/max = 52/94/120 ms

　　SITE1#show crypto isakmp sa

　　IPv4 Crypto ISAKMP SA

　　dst src state conn-id status

　　23.1.1.3 12.1.1.1 QM_IDLE 1001 ACTIVE

　　SITE1#show crypto ipsec sa

　　interface: FastEthernet1/0

　　Crypto map tag: vpn, local addr 12.1.1.1

　　protected vrf: (none)

　　local ident (addr/mask/prot/port): (192.168.1.1/255.255.255.255/0/0)

　　remote ident (addr/mask/prot/port): (10.1.1.1/255.255.255.255/0/0)

　　current_peer 23.1.1.3 port 500

　　PERMIT, flags={origin_is_acl,}

　　#pkts enca L2L IPsec-vpn用于分支與總部直接的vpn的技術，它可以替代廣域網的相關技術，隻是由于通過Internet的傳輸，帶寬無法實時的保證，因此傳輸的流量質量不會得到保證。L2L 通過建立isakmp sa和ipsec sa實現網絡的通信。但是L2L無法實現動态路由的傳輸，因為L2L不支持組播地址的傳輸，如果要實現動态路由的VPN，則需要GRE over IPsec-vpn。