暗号マップを使用しないCisco ipsecトンネル

必要に応じて、安全なトンネルを使用します。構成を最小限に抑えたい場合は、暗号マップを使用せずにcisco ipsecトンネルを整理するソリューションがあります。

1つのホストの構成例（反対側にはミラー構成があります）。 リモート側のSECRETKEYの作成：

crypto isakmp key SECRETKEY address 11.0.0.3 

変換の説明の設定：

 crypto ipsec transform-set TS esp-3des esp-sha-hmac comp-lzs 

暗号プロファイルの作成：

 crypto ipsec profile A set transform-set TS 

インターフェイス設定：

 interface Tunnel0 ip address 172.16.0.1 255.255.255.252 tunnel source FastEthernet0/0 tunnel destination 11.0.0.3 tunnel mode ipsec ipv4 tunnel protection ipsec profile A 

プロバイダーへのインターフェース：

 interface FastEthernet0/0 ip address 10.0.0.1 255.0.0.0 

セッション検証：

 R1#show crypto session Crypto session current status Interface: Tunnel0 Session status: UP-ACTIVE Peer: 11.0.0.3 port 500 IKE SA: local 10.0.0.1/500 remote 11.0.0.3/500 Active IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0 Active SAs: 4, origin: crypto map 

それにもかかわらず、暗号マップは作成されましたが、これは自動的に行われ、構成でスペースを占有しないことに注意してください：

 R1#show crypto map Crypto Map "Tunnel0-head-0" 65536 ipsec-isakmp Profile name: A Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N): N Transform sets={ TS: { esp-3des esp-sha-hmac } , { comp-lzs } , } Crypto Map "Tunnel0-head-0" 65537 ipsec-isakmp Map is a PROFILE INSTANCE. Peer = 11.0.0.3 Extended IP access list access-list permit ip any any Current peer: 11.0.0.3 Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N): N Transform sets={ TS: { esp-3des esp-sha-hmac } , { comp-lzs } , } Always create SAs Interfaces using crypto map Tunnel0-head-0: Tunnel0 

これで、172.16.0.0 / 30間のすべてのトラフィックが暗号化され、このインターフェイス上の他のすべてのトラフィックは暗号化されません。

ご静聴ありがとうございました。コメントをお待ちしています。