在上一篇文章中我们展示了 static crypto map 和 dynamic crypto map 的配置方式,在这里我们利用 static crypto map 这种最简单的方法来展示如何在 loopback 接口上建立 IPsec。
当我们的 router 形成 dual-home 的拓扑,并且需要在两个接口上同时建立 IPsec 时我们有两种配置方法。第一种就是创建两个 crypto map 分别挂载到两个接口上;第二种就是创建一个 crypto map 并将其挂载到一个 loopback 接口上。
使用第一种方法的时候 router 需要维护两个单独的 SA,使用第二种方法 router 只需要维护一个 SA。在 loopback 接口上建立 IPsec 可以减低维护成本。
R1 配置:
R1(config)#crypto isakmp policy 10 R1(config-isakmp)#authen pre-share R1(config-isakmp)#hash sha256 R1(config-isakmp)#group 24 R1(config-isakmp)#encr aes 256 R1(config)#crypto isakmp key CISCO add 20.20.20.20 R1(config)#ip access-list extended 101 R1(config-ext-nacl)#per ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 R1(config)#crypto ipsec transform-set VPN_TS esp-sha256-hmac esp-aes 256 R1(config)#crypto map My_Crypto_Map 10 ipsec-isakmp R1(config-crypto-map)#set peer 20.20.20.20 R1(config-crypto-map)#set tr R1(config-crypto-map)#set transform-set VPN_TS R1(config-crypto-map)#match add 101 R1(config)#crypto map My_Crypto_Map local-address lo0
R2 配置:
R2(config)#crypto isakmp policy 10 R2(config-isakmp)#authen pre-share R2(config-isakmp)#hash sha256 R2(config-isakmp)#group 24 R2(config-isakmp)#encr aes 256 R2(config)#crypto isakmp key CISCO add 10.10.10.10 R2(config)#ip access-list extended 101 R2(config-ext-nacl)#per ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 R2(config)#crypto ipsec transform-set VPN_TS esp-sha256-hmac esp-aes 256 R2(config)#crypto map My_Crypto_Map 10 ipsec-isakmp R2(config-crypto-map)#set peer 10.10.10.10 R2(config-crypto-map)#set tr R2(config-crypto-map)#set transform-set VPN_TS R2(config-crypto-map)#match add 101 R2(config)#crypto map My_Crypto_Map local-address lo0
我们可以看到 IKE 是由两边的 loopback 接口建立的
R1#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status 20.20.20.20 10.10.10.10 QM_IDLE 1001 ACTIVE IPv6 Crypto ISAKMP SA