思科路由器IKEV2 L2L***预共享密码认证最简化配置
一.概述:
思科路由器对于IKEV2,是有很多预配的,因此可以很少的配置就能完成IKEV2的配置。
二.基本思路:
A.两边都用SVTI的方式配置Flex ***
B.没有用动态路由,配置静态路由,如果一边用DVTI,则需要两边配置静态路由
三.测试拓扑:
四.Flex ***的配置:
A.R2:
crypto ikev2 keyring KeyRing
peer 202.100.2.1
address 202.100.2.1
pre-shared-key cisco
crypto ikev2 profile default
match identity remote address 202.100.2.1 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local KeyRing
interface Tunnel0
ip address 10.1.1.2 255.255.255.0
tunnel source FastEthernet0/1
tunnel destination 202.100.2.1
tunnel protection ipsec profile default
ip route 192.168.1.0 255.255.255.0 Tunnel0
B.R4:
crypto ikev2 keyring KeyRing
peer 202.100.1.1
address 202.100.1.1
pre-shared-key cisco
crypto ikev2 profile default
match identity remote address 202.100.1.1 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local KeyRing
interface Tunnel0
ip address 10.1.1.4 255.255.255.0
tunnel source FastEthernet0/1
tunnel destination 202.100.1.1
tunnel protection ipsec profile default
ip route 172.16.1.0 255.255.255.0 Tunnel0
五.Flex ***的预配:
测试用的是c7200-adventerprisek9-mz.152-4.S的IOS文件,可以看到默认是有flex ***的预配的:
R1#show running-config all | sec cry
no service password-encryption
crypto pki crl cache size 64
crypto engine software ipsec
crypto ikev2 authorization policy default
route set interface
route accept any
crypto ikev2 proposal default
encryption aes-cbc-256 aes-cbc-192 aes-cbc-128
integrity sha512 sha384 sha256 sha1 md5
group 5 2
crypto ikev2 policy default
match fvrf any
proposal default
crypto ikev2 nat keepalive 0
crypto ikev2 diagnose error 50
crypto ikev2 dpd 0 0 periodic
crypto ikev2 limit max-in-negotation-sa 40
crypto ikev2 limit max-sa 0
crypto ikev2 window 5
crypto ikev2 fragmentation mtu 576
crypto isakmp aggressive-mode disable
crypto ipsec optional retry 300
crypto ipsec security-association lifetime kilobytes 4608000
crypto ipsec security-association lifetime seconds 3600
no crypto ipsec security-association replay disable
crypto ipsec security-association replay window-size 64
crypto ipsec transform-set default esp-aes esp-sha-hmac
mode transport
crypto ipsec nat-transparency udp-encapsulation
crypto ipsec profile default
set security-association lifetime kilobytes 4608000
set security-association lifetime seconds 3600
no set security-association idle-time
no set security-association replay window-size
crypto call admission limit ike sa 0
crypto call admission limit ike in-negotiation-sa 1000
crypto call admission limit ipsec sa 0
crypto mib ipsec flowmib history tunnel size 200
crypto mib ipsec flowmib history failure size 200
R1#
思科路由器IKEV2 L2L***预共享密码认证最简化配置相关推荐
- 思科与H3C IPSec 预共享密钥和证书认证 ,NAT穿越综合实验
目录 拓扑图 实验要求 AR1思科与AR2思科设备配置 CA服务器 AR1思科与AR3华三设备配置 AR1配置NAT 拓扑图 地址分配表 AR1 Gi0/0 10.10.1.2 Gi0/1 1 ...
- 玩转华为ENSP模拟器系列 | 配置基于路由的IPSec VdPdNd(采用预共享密钥认证)
素材来源:华为防火墙配置指南 一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验 目标 ...
- 连接思科无线经常出现获取不到地址_思科(cisco)路由器登录IP地址默认密码说明...
思科路由器登录IP地址说明: 要登录和配置思科路由器,我们需要先知道两件事. 1.思科路由器的登录IP地址 2.思科路由器默认登录用户名和密码 本指南说明将为你带来两种设备如何登录和配置思科路由器 步 ...
- 使用IKE预共享密钥配置IPsec
使用IKE预共享密钥配置IPsec 配置IKE预共享密钥的过程 1 为IKE和IPSEC准备 1检查当前配置 show running-config ...
- IPsec IKEv1中预共享密钥下使用标识符进行表示出现的问题
问题描述 如图所示,在IKEv1的主模式下使用标识符的方式而不是使用IP地址的方式去标识IPsec的双端就会导致主模式无法协商完成的情况,其主要原因就是主模式无法根据第一次数据报的交互中找寻到相关的预 ...
- 思科路由器关联RADIUS服务器配置命令
1.关联RADIUS服务器 Cisco(config)#aaa new-model //全局启用aaa功能 Cisco(config-radius-server)#address ipv4 10.1. ...
- 思科路由器关联Tacacs+服务器配置命
Cisco(config)#aaa new-model //全局启动aaa 1.关联Tacacs+服务器 Cisco(config)#tacacs server s2 Cisco(config-ser ...
- Packet Tracer - 在思科路由器上配置 AAA 认证
Packet Tracer - 在思科路由器上配置 AAA 认证 拓扑图 地址分配表 设备 接口 IP 地址 子网掩码 默认网关 交换机端口 R1 G0/1 192.168.1.1 255.255.2 ...
- 思科cisoc 路由器IKEv2配置ipsec tunnel口隧道
环境拓扑图 R1配置 接口配置 R1#configure terminal R1(config)#interface ethernet 1/0 R1(config-if)#no shutdown R1 ...
最新文章
- 《星际争霸2》引擎技术解析
- [转载]数据库设计三大范式应用实例剖析
- 用Select查询结果创建ACCESS表
- c语言二叉树最小值,C语言递归之二叉树的最小深度
- UVa11809 - Floating-Point Numbers
- vue商城项目开发:底部导航样式、顶部导航矩阵和轮播图
- GDIDrawing3——GDI+绘图(三)
- ORACLE 分区表 PARTITION table
- linux内核死锁检测机制 | oenhan,Linux内核CPU负载均衡机制 | OenHan
- 怎么创建自己的oracle,oracle 创建自己的wm_concat
- 【iOS】使用storyboard界面跳转报错:unrecognized selector sent to instance 0x7
- Axure 7.0教程_小楼作品(十六)多值单变量的页面传值
- linux ahci 驱动下载,linux ahci驱动分析 SylixOS中AHCI驱动框架分析
- java获取oracle自增_Oracle自增列创建方法
- GitLab 注册 Runner Registering Runners
- 服务器更换固态后如何安装系统,更换固态硬盘后安装操作系统的两种常用方法...
- 李一男2003年在港湾给开发人员培训时的语录
- 【PB】数据窗口的修改属性
- 乒乓球十一分制比赛规则_乒乓球赛制 乒乓球十一分制比赛规则
- excel如何实现数据钻取