CISCO IPSEC Site to Site VPN: Unterschied zwischen den Versionen

Anlegen der Verbindungsdaten für Phase 1

 unkerich(config)#crypto isakmp policy 10

Verschlüsselungsalgorithmus ist 3des

unkerich(config-isakmp)#encr 3des

Der Hashwert ist md5

unkerich(config-isakmp)#hash md5

Authentifizierungsmethode ist Pre-Shared-Secret

unkerich(config-isakmp)#authentication pre-share 

Diffie-Hellmangruppe 2

unkerich(config-isakmp)#group 2

Accesslist zur Gegenseite

unkerich(config)#access-list 120 permit ip 172.32.1.0 0.0.0.255 172.22.2.0 0.0.0.255

Pre-Shared-Secret Gegenseite zuordnen

unkerich(config)#crypto isakmp key 0 sehr-geheim address 192.168.249.62

Transformset xinux-set "esp-3des esp-md5-hmac"

unkerich(config)#crypto ipsec  transform-set xinux-set esp-3des esp-md5-hmac

Zusammenfassen Verbindungsdaten für Phase 2 basierend auf Phase 1 Policy 10

unkerich(config)#crypto map lurchi-unkerich 10 ipsec-isakmp 

Gegenseite ist dies IP

unkerich(config-crypto-map)#set peer 192.168.249.61

Anwenden der Verbindungsdaten von xinux-set

unkerich(config-crypto-map)#set transform-set xinux-set 

Trifft dann wenn Accessliste 120 zutrifft

unkerich(config-crypto-map)#match address 120

Anwenden der Crypto Map auf die Schnittstelle

unkerich(config)#interface FastEthernet0/1
unkerich(config-if)#crypto map lurchi-unkerich

Anzeigen der ISAKMP SA

unkerich#show crypto isakmp sa
dst             src             state          conn-id slot status
192.168.249.61  192.168.249.62  QM_IDLE              1    0 ACTIVE

Löschen der Phase 1 SA

unkerich#clear crypto  isakmp

Löschen der Phase 2 SA

 unkerich#clear crypto sa

Anzeigen der ISAKMP SA

unkerich#show crypto isakmp sa
dst             src             state          conn-id slot status
192.168.249.61  192.168.249.62  MM_NO_STATE          4    0 ACTIVE (deleted)

Debugen der Phase1

unkerich#debug crypto isakmp 
Crypto ISAKMP debugging is on
unkerich#terminal monitor 
unkerich#
dann pingen
unkerich#no debug crypto isakmp 
Crypto ISAKMP debugging is off