1. security device manager  (SDM)

  2. ip http secure-server

  3. line vty 0 4

  4. transport input ssh telnet

  5. username ssxw privilege 15 password ssxw

GRE generic routing encapsulation 通过路径封装  不支持认证和加密 但是支持多种网络协议
封装 Ip                         |GRE|     IP|     TCP|        DATA   协议号47
       新的ip包头          4个四节 支持数据包的完整性检查
R1    int tunnel 0                                                                   R2    int tunnel 0
ip add 10.1.1.1 255.255.255.0                                                          ip add 10.1.1.2 255.255.255.0
tunnel souce s0/0                                                                                tunnel souce s0/0
tunnel destination 200.1.1.2                                                           tunnel destination   200.1.1.2
tunnel mode gre ip                                                                                tunnel mode gre ip                                                                                  
no shut                                                                                                no shut
ip route 0.0.0.0 0.0.0.0 tunnel 0
NIP   GRE    IP   DATA
TUNNEL地址的作用  为了使用静态路由!!
introducting secure grp tunnels    gre       over ipsec
支持多种网络协议 支持动态***    
spacer.gif
IP             ESP  
IP  GRE
IP   TCP    IDATA  
ESP (TUNNEL MODE)
IP
ESP
GRE
IP TCP DATA
ESP (TRANSPORT)
用transpor mode 可以节省24字节   先看路由 做封装在查access-list   R1
access-list 100 permit ip host 200.1.1.1 host 200.1.1.2 (注意)
crypto siakmp poli 10
auth per
hash md5
en 3des
exit
crypto isakmp key 0 123 add 200.1.1.2
crypto ipsec tran *** esp-md5-ad esp-3des
mode tran
exit
crypto map ***
set peer 200.1.1.2
match add 100
set tran ***
exit
int s0/0
crypto map ***
(宣告路由:自动触发
)
router eigrp 90
net 192.168.1.0
net 172.1.1.0 0.0.0.255
no au       封装
               NIP              GRE                IP         RIGRP
       SOU200.1.1.1-.2            (SOU172.1.1.1-D224.0.0.10)
HA cisco  high availability options高可用性
 dpd    crypto isakmp keepalive 10 3(每10秒发一次 三次没收到 换下一个传输
)
          crypto ipse tran *** esp-md5-ah esp-3des
          crypto map *** 10 ipsec-isakmp
          set -peer 200.1.1.2 default
          set-peer  200.1.2.2
          set tran ***
          match add 100
access-list 100 permit 内网地址
HSRP  
        int fa0/0
ip add 172.31.1.2 255.255.255.0
standby 1 preempt
standby 1 ip 172.31.1.1
standby 1 name ***
standby 1  track fa0/1
crypto map *** redundancy ***
exi
crypto dymaic-map *** 10
set transform-set ***
reserse-route (反向路由注入)(reverse route injection)
crypto map *** ipsec-isakmp dynamic ***
定义感兴趣流量 在active路由器注入一个静态路由  将静态路由重分发进动态路由
ipsec 自动切换 无状态 状态
stateful  sso  (状态化自切换)
    int fa0/0
ip add 172.31.1.2 255.255.255.0
standby 1 preempt
standby 1 ip 172.31.1.1
standby 1 name ***
standby 1  track fa0/1
crypto map *** redundancy ***
exi
crypto dymaic-map *** 10  stateful
set transform-set ***
reserse-route (反向路由注入)(reverse route injection)
crypto map *** ipsec-isakmp dynamic ***
redundancy lnter-device
scheme standby ***
ipc zond default
association 1
protocol sctp
local-port 12345
local-ip 10.1.1.1
retransimt-timeout 300 10000
path-retransmit 1-
assoc-retransmit 20
remote-port 12345
remote 10.1.1.2
IPsec ***的备份  
活动静态路由  (用ad控制 或者度量值 动态)
int s0/0.1
ip add 200.1.1.1 255.255.255.0
delay 100
router eigrp 100
no au
net  192.168.0.0 0.0.255.255
net 10.0.0.0 0.0.0.255
easy ***
easy *** server  /easy ***  remote  
1 client初始化ike phase1 process(内置软件认证)
2 The *** client astablishes an isakmp SA
3 The easy *** server accepts the sa proposal (1.5阶段)
4 The easy *** server initiates a username   password
  RRI根据分配地址反向路由注入!(最长匹配 32位 可以分在同一网段,不能重复)!(给client分配地址) 注意数据data改变()
 nip  esp  ip data
R1  int fa0/0
ip add 200.1.1.1 255.255.255.0
no shut
int s1/0
ip add 192.168.1.1 255.255.255.0
no shut
ip http secure-services
line vty 0 4
transport input ssh
login local
userna ssxw pre 15 pass 523
(在本地一定要启用AAA 用户名 密码)
group 2(D H算法  默认 不能改 client内置group 2)
定义地址pool (定义组 (市场部 财务部 工程部 等))
split tunnel  分割通道 (access-list)选择加密!!不影响上网
local  lan  (所在本网段不加密)
查看计算机路由 printer router
ip http server
ip http authen local
user ssxw pre 15  pass 523
show crypto engine connetions active(加解密)
EASY *** 配置:
ip cef
aaa new-model
aaa authentication login default local
aaa authentication login sdm_***_xauth_ml_1 local
aaa authorization exec default local
aaa authorization network sdm_***_group_ml_1 local
username ssxw privilege 15 password 0 ssxw
crypto isakmp policy 10
enc 3des
auth pre-share
group 2(注意)
crypto isakmp client configuration group tatfook
key tatfook123
pool sdm_pool_1
acl 100
crypto ipsec transform-set esp-3des-sha esp-3des esp-sha-hmac
crypto dynamic-map sdm-dynmap_1 1
set  
transform-set esp-3des-sha
reverse-route
crypto map sdm_cmap_1 client  authentication list sdm_***_xauth_ml_1
crypto map sdm_cmap_1 isakmp authorization list
sdm_***_group_ml_1
crypto map sdm_cmap_1   client cpmfiguration address respond
crypto map sdm_cmap_1  65535 ipsec-isakmp dynamic sdm_dynmap_1
int fa0/0
ip add 192.168.16.5 255.255.255.0
crypto dynamic-map sdm_cmap_1
ip local pool sdm_pool_1 192.168.8.1 192.168.8.100
access-list 100 permit ip 192.168.1.0 0.0.0.255 any