Cisco IOS Site-to-Site Vpn配置案例

　　先介绍下Site to site VPN的用途，一是公司与子公司之间互通这个用的最多，它一般同时还与NAT同时使用;二是对公司内二个网段之间互通。

　　一、实验拓扑：

　　总公司R1使用内网10.100.92.0网段;R2模拟Internet接入商接口;子公司R3使用内网192.168.3.0网段，我们要实现子公司用户能访问总子公内的资源。

　　二、配置

　　1、将R1、R2、R3,接口IP及路由配通;意味着公司与子公司之间的公网连接已通。

　　R1(config)#int lo0

　　R1(config-if)#ip add 10.100.92.1 255.255.255.0

　　R1(config)#int s1/0

　　R1(config-if)#ip add 218.1.2.1255.255.255.252

　　R1(config-if)#no shut

　　R1(config)#ip router 0.0.0.00.0.0.0 218.1.2.2

　　R1#wr

　　R2(config)#int s1/0

　　R2(config-if)#ip add 218.1.2.2 255.255.255.252

　　R2(config)#int s1/1

　　R2(config-if)#ip add 220.2.3.1255.255.255.252

　　R2(config-if)#no shut

　　R2(config)#wr

　　R3(config)#int lo0

　　R3(config-if)#ip add 192.168.3.1255.255.255.0

　　R3(config)#int s1/0

　　R3(config-if)#ip add 220.2.3.2255.255.255.252

　　R3(config-if)#no shut

　　R3(config)#ip router 0.0.0.00.0.0.0 220.2.3.1

　　R3(config)#wr

　　现在公网之间应该是通了，我们测试一下，如果不通大家请检查下。

　　R1#ping 218.1.2.2

　　R1#ping 220.2.3.2

　　R3#ping 220.2.3.1

　　R3#ping 218.1.2.1

　　这时我们从内网ping是不通的测试一下：

　　R1#ping ip 192.168.3.1 source10.100.92.1

　　二、配置VPN使二个内网能共享资源

　　1)、第一步配置IKE策略

　　R1(config)#crypto isakmp policy 10 定义10号策略;

　　R1(config-isakmp)#encr 3des 加密方式使用3des;

　　R1(config-isakmp)#hash md5 摘要使用md5;

　　R1(config-isakmp)#authenticationpre-share 认证使用预共享;

　　R1(config-isakmp)#group 2 使用2号组D-H算法;

　　R1(config-isakmp)#exit

　　2)、第二步设置预共享密钥

　　R1(config-isakmp)#cypto isakmp cisco123 address 220.2.3.2

　　3)、第三步设置传输集

　　R1(config)#crypto ipsectransform-set ccsp esp-des esp-md5-hmac

　　R1(cfg-crypto-trans)#mode tunnel

　　4)、第四步配置映射

　　R1(config)#crypto map cisco 10ipsec-isakmp

　　R1(config-crypto-map)#set peer 220.2.3.2

　　R1(config-crypto-map)#settransform-set ccsp

　　R1(config-crypto-map)#match address101

　　R1(config)#access-list 101 permitip 10.100.92.0 0.0.0.255 192.168.3.0 0.0.0.255

　　5)、第五步应用到接口

　　R1(config)#interface Serial1/0

　　R1(config-if)#crypto map Cisco

　　六)、对子公司路由器R3进行配置

　　1)、第一步配置IKE策略

　　R3(config)#crypto isakmp policy 10 定义10号策略;

　　R3(config-isakmp)#encr 3des 加密方式使用3des;

　　R3(config-isakmp)#hash md5 摘要使用md5;

　　R3(config-isakmp)#authenticationpre-share 认证使用预共享;

　　R3(config-isakmp)#group 2 使用2号组D-H算法;

　　R3(config-isakmp)#exit

　　2)、第二步设置预共享密钥

　　R3(config-isakmp)#cypto isakmp cisco123 address 218.1.2.1

　　3)、第三步设置传输集

　　R3(config)#crypto ipsectransform-set ccsp esp-des esp-md5-hmac

　　R3(cfg-crypto-trans)#mode tunnel

　　4)、第四步配置映射

　　R3(config)#crypto map cisco 10ipsec-isakmp

　　R3(config-crypto-map)#set peer 218.1.2.1

　　R3(config-crypto-map)#settransform-set ccsp

　　R3(config-crypto-map)#match address101

　　R3(config)#access-list 101 permitip 192.168.3.0 0.0.0.255 10.100.92.0 0.0.0.255

　　5)、第五步应用到接口

　　R3(config)#interface Serial1/0

　　R3(config-if)#crypto map Cisco

　　OK,完成配置，我们来检查下：

　　R

　　六)、对子公司路由器R3进行配置

　　1)、第一步配置IKE策略

　　R3(config)#crypto isakmp policy 10 定义10号策略;

　　R3(config-isakmp)#encr 3des 加密方式使用3des;

　　R3(config-isakmp)#hash md5 摘要使用md5;

　　R3(config-isakmp)#authenticationpre-share 认证使用预共享;

　　R3(config-isakmp)#group 2 使用2号组D-H算法;

　　R3(config-isakmp)#exit

　　2)、第二步设置预共享密钥

　　R3(config-isakmp)#cypto isakmp cisco123 address 218.1.2.1

　　3)、第三步设置传输集

　　R3(config)#crypto ipsectransform-set ccsp esp-des esp-md5-hmac

　　R3(cfg-crypto-trans)#mode tunnel

　　4)、第四步配置映射

　　R3(config)#crypto map cisco 10ipsec-isakmp

　　R3(config-crypto-map)#set peer 218.1.2.1

　　R3(config-crypto-map)#settransform-set ccsp

　　R3(config-crypto-map)#match address101

　　R3(config)#access-list 101 permitip 192.168.3.0 0.0.0.255 10.100.92.0 0.0.0.255

　　5)、第五步应用到接口

　　R3(config)#interface Serial1/0

　　R3(config-if)#crypto map Cisco

　　OK,完成配置，我们来检查下：

　　R1#sho crypto isakmp sa

　　应该可以看到R3的IP,并且是活跃连接的，没有也没关系我们激活它。

　　R1#ping ip 192.168.3.1 source10.100.92.1