IPSec 是什么：

IPSec是一个框架，它不是具体指某个协议，而是定义了一个框架，由各种协议组和协商而成。该框架涉及到的主要有加密算法、验证算法、封装协议、封装模式、密钥有效期等等。

IPSecVPN建立的前提：要想在两个站点之间安全的传输IP数据流，它们之间必须要先进行协商，协商它们之间所采用的加密算法，封装技术以及密钥。

分为两个阶段，第一个是建立管理连接，第二个阶段是建立数据连接

阶段一：

在两个对等体设备之间建立一个安全的管理连接。没有实际的数据通过这个连接。这个管理连接是用来保护第二阶段协商过程的。

阶段一需要协商的内容：

1.双方使用什么加密算法进行加密（des、3des、aes）

2.摘要（完整性）认证的方式（MD5、SHA）

3.采用的密钥共享方式（预共享密钥，CA数字签名、公钥认证）

4.使用的密钥强度DH组（越大加密强度越高）

5.管理连接生存时间（默认一天，单位秒）

6.协商模式（主模式或积极模式）

阶段二：

当对等体之间有了安全的管理连接之后，它们就可以接着协商用于构建安全数据连接的安全参数，这个协商过程是安全的，加密的。协商完成后，将在两个站点间形成安全的数据连接。

阶段二需要协商的内容：

1.传输模式（隧道模式还是传输模式）

2.封装技术（ESP、AH）

3.传输过程中数据的加密方式（des、3des、aes）

4.传输过程中数据的认证方式（MD5、SHA）

3.定义感兴趣（定义需要使用IPSec的流量）
实验拓扑：

首先保证路由可达

一.配置网络密钥交换提议 
 
ike proposal  1    
 
设置身份认证算法为：sha1 
 
authentication-algorithm  sha1
 
设置身份认证方式为（预共享密钥）pre-share
 
authentication-method  pre-share 
 
设置加密算法为：aes-cbs -128
 
encryption-algorithm aes-cbc-128
 
dh group2交互
 
二.配置ike对等体
 
ike peer jjj
 
配置传输模式为主模式（默认）
 
exchange-mode  main
 
应用之前配置的ike 提议 
 
ike proposal1
 
配置预共享密钥
 
pre-shared-key cipher 123
 
配置远程地址 
 
emote-address 100.1.13.1
 
三.配置IPSec proposal 
 
ipsec proposal jjj
 
配置安全协议的报文封装模式
 
encapsulation-mode tunnel （隧道模式）(默认)
 
指定ESP 协议参数  
 
    指定IPSec安全协议的认证算法
 
    esp authentication-algorithm  sha1 
 
    指定IPsec安全协议的加密算法 
 
    esp encryption-algorithm aes-128
 
四.使用高级acl抓取要使用IPSec加密的流量
 
acl 3000
 
rule 5 permit ip source 192.168.1.2 0 destination 192.168.2.2 0 
 
五.配置IPSec安全策略 
 
(配置名为jjj 策略号为 1 的 采用ike方式建立安全联盟的策略)
 
ipsec policy jjj  1 isakmp 
 
 
security acl 3000 （指定受此策略保护的报文）
pfs dh-group2（在IKE阶段2协商中使用PFS (perfect forward security)）
ike-peer jjj （指定ike peer ）
proposal jjj (配置IPSec安全提议)
 
六.应用安全策略组
 
进入指定接口
 
 
iinterface g/0/0/1 
 
ipsec policy jjj（应用jjj 策略）

r3

一.配置网络密钥交换提议 
 
ike proposal  1    
 
设置身份认证算法为：sha1 
 
authentication-algorithm  sha1
 
设置身份认证方式为（预共享密钥）pre-share
 
authentication-method  pre-share 
 
设置加密算法为：aes-cbs -128
 
encryption-algorithm aes-cbc-128
 
dh group2
 
二.配置ike对等体
 
ike peer jjj
 
配置传输模式为主模式（默认）
 
exchange-mode  main
 
应用之前配置的ike 提议 
 
ike proposal1
 
配置预共享密钥
 
pre-shared-key cipher 123
 
配置远程地址 
 
emote-address 100.1.12.1
 
三.配置IPSec proposal 
 
ipsec proposal jjj
 
配置安全协议的报文封装模式
 
encapsulation-mode tunnel （隧道模式）(默认)
 
指定ESP 协议参数  
 
    指定IPSec安全协议的认证算法
 
    esp authentication-algorithm  sha1 
 
    指定IPsec安全协议的加密算法 
 
    esp encryption-algorithm aes-128
 
四.使用高级acl抓取要使用IPSec加密的流量
 
acl 3000
 
rule 5 permit ip source 192.168.2.2 0 destination 192.168.1.2 0 
 
五.配置IPSec安全策略 
 
(配置名为jjj 策略号为 1 的 采用ike方式建立安全联盟的策略)
 
ipsec policy jjj  1 isakmp 
 
 
security acl 3000 （指定受此策略保护的报文）
pfs dh-group2（在IKE阶段2协商中使用PFS (perfect forward security)）
ike-peer jjj （指定ike peer ）
proposal jjj (配置IPSec安全提议)
 
六.应用安全策略组
 
进入指定接口
 
 
iinterface g/0/0/0 
 
ipsec policy jjj（应用jjj 策略）