配置 IPSec - 路由器到PIX防火墙 (ipsec路由模式)

这个文档说明了在路由器和思科防火墙之间的IPSec配置。在总部和分公司之间的流量使用的是私有IP*，当分公司的局域网用户访问互联网时，需要进行*转换。　　网络拓扑　　　　具体配置如下：　　　　!---定义去路由器的流量:　　access-listipsecpermitip.1.1.....2.2....0　　!---去路由器的流量不做*转换　　access-listnonatpermitip.1.1.....2.2....0　　ipaddressoutside......　　ipaddressinside.1.1....0　　global(outside)...　　!---去路由器的流量不做*转换　　nat(inside)0access-listnonat　　nat(inside).1.1....　　conduitpermiticmpanyany　　routeoutside0.0.0..0.0....　　!---IPSec策略:　　sysoptconnectionpermit-ipsec　　cryptoipsectransform-setavalancheesp-desesp-md5-hmac　　cryptoipsecsecurity-associationlifetimeseconds　　cryptomapfor*ergipsec-isakmp　　cryptomapfor*ergmatchaddressipsec　　cryptomapfor*ergsetpeer...　　cryptomapfor*ergsettransform-setavalanche　　cryptomapfor*erginterfaceoutside　　　　!---IKE策略:　　isakmpenableoutside　　isakmpkeywesternfinaladdress...netmask...　　isakmpidentityaddress　　isakmppolicyauthenticationpre-share　　isakmppolicyencryptiondes　　isakmppolicyhashmd5　　isakmppolicygroup1　　:end　　hostnameBranch_Router　　!---IKE策略:　　cryptoisakmppolicy　　hashmd5　　authenticationpre-share　　cryptoisakmpkeywesternfinaladdress...　　!---IPSec策略:　　cryptoipsectransform-setsharksesp-desesp-md5-hmac　　cryptomapnolanipsec-isakmp　　setpeer...　　settransform-setsharks　　matchaddress　　!　　interfaceEthernet0　　ipaddress......　　ipnatoutside　　cryptomapnolan　　!　　interfaceEthernet1　　ipaddress.2.2....0　　ipnatinside　　!　　ipnatpoolbranch......netmask...　　ipnatinsidesourceroute-mapnonatpoolbranchoverload　　iproute0.0.0..0.0....　　access-listpermitip.2.2..0.0..1.1..0.0.　　access-listdenyip.2.2..0.0..1.1..0.0.　　access-listpermitip.2.2..0.0.any　　route-mapnonatpermit　　matchipaddress　　end