Cisco IOS IPsec 配置专题(2) – IPsec on Loopback Interface

在上一篇文章中我们展示了 static crypto map 和 dynamic crypto map 的配置方式,在这里我们利用 static crypto map 这种最简单的方法来展示如何在 loopback 接口上建立 IPsec。

当我们的 router 形成 dual-home 的拓扑,并且需要在两个接口上同时建立 IPsec 时我们有两种配置方法。第一种就是创建两个 crypto map 分别挂载到两个接口上;第二种就是创建一个 crypto map 并将其挂载到一个 loopback 接口上。

使用第一种方法的时候 router 需要维护两个单独的 SA,使用第二种方法 router 只需要维护一个 SA。在 loopback 接口上建立 IPsec 可以减低维护成本。

R1 配置:

R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authen pre-share
R1(config-isakmp)#hash sha256
R1(config-isakmp)#group 24
R1(config-isakmp)#encr aes 256

R1(config)#crypto isakmp key CISCO add 20.20.20.20

R1(config)#ip access-list extended 101
R1(config-ext-nacl)#per ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

R1(config)#crypto ipsec transform-set VPN_TS esp-sha256-hmac esp-aes 256

R1(config)#crypto map My_Crypto_Map 10 ipsec-isakmp
R1(config-crypto-map)#set peer 20.20.20.20
R1(config-crypto-map)#set tr
R1(config-crypto-map)#set transform-set VPN_TS
R1(config-crypto-map)#match add 101

R1(config)#crypto map My_Crypto_Map local-address lo0

R2 配置:

R2(config)#crypto isakmp policy 10
R2(config-isakmp)#authen pre-share
R2(config-isakmp)#hash sha256
R2(config-isakmp)#group 24
R2(config-isakmp)#encr aes 256

R2(config)#crypto isakmp key CISCO add 10.10.10.10

R2(config)#ip access-list extended 101
R2(config-ext-nacl)#per ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255

R2(config)#crypto ipsec transform-set VPN_TS esp-sha256-hmac esp-aes 256

R2(config)#crypto map My_Crypto_Map 10 ipsec-isakmp
R2(config-crypto-map)#set peer 10.10.10.10
R2(config-crypto-map)#set tr
R2(config-crypto-map)#set transform-set VPN_TS
R2(config-crypto-map)#match add 101

R2(config)#crypto map My_Crypto_Map local-address lo0

我们可以看到 IKE 是由两边的 loopback 接口建立的

R1#show crypto isakmp sa 
IPv4 Crypto ISAKMP SA 
dst          src             state       conn-id  status 
20.20.20.20  10.10.10.10     QM_IDLE     1001     ACTIVE 

IPv6 Crypto ISAKMP SA

发表评论

电子邮件地址不会被公开。