使用IPV6的基于IKEv1路由的站点到站点VPN

下载选项

PDF (395.4 KB)
在各种设备上使用 Adobe Reader 查看
ePub (169.3 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (98.5 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2024 年 12 月 12 日

文档 ID:222692

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍一种配置，用于在使用互联网密钥交换版本1(IKEv1/ISAKMP)协议的两台Cisco路由器之间设置IPv6、基于路由的站点到站点隧道。

先决条件

要求

Cisco 建议您了解以下主题：

Cisco IOS®/Cisco IOS® XE CLI配置的基础知识
Internet安全关联、密钥管理协议(ISAKMP)和IPsec协议的基础知识
了解IPv6编址和路由

使用的组件

本文档中的信息基于以下软件版本：

运行17.03.04a的Cisco IOS XE作为本地路由器
运行17.03.04a作为远程路由器的Cisco IOS

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

配置

网络图

Two IOS-XE Routers Connected through Internet

配置

本地路由器

步骤1.启用IPv6单播路由。

ipv6 unicast-routing

步骤2.配置路由器接口。

interface GigabitEthernet1
ipv6 address 2001:DB8:0:A::1/64
no shutdown

interface GigabitEthernet2
ipv6 address FC00::1/64
no shutdown

步骤3.设置IPv6默认路由。

ipv6 route ::/0 GigabitEthernet1

步骤4.配置第1阶段策略。

crypto isakmp policy 10
encryption aes
authentication pre-share
group 14

步骤5.使用预共享密钥配置密钥环。

crypto keyring IPV6_KEY 
pre-shared-key address ipv6 2001:DB8:0:B::1/128 key cisco123

步骤6.配置ISAKMP配置文件。

crypto isakmp profile ISAKMP_PROFILE_LAB
keyring IPV6_KEY
match identity address ipv6 2001:DB8:0:B::1/128

步骤7.配置第2阶段策略。

crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha-hmac 
mode tunnel

步骤8.配置IPsec配置文件。

crypto ipsec profile Prof1
 set transform-set ESP-AES-SHA

步骤9.配置隧道接口。

interface Tunnel0
 no ip address
 ipv6 address 2012::1/64
 ipv6 enable
 tunnel source GigabitEthernet1
 tunnel mode ipsec ipv6
 tunnel destination 2001:DB8:0:B::1
 tunnel protection ipsec profile Prof1
end

步骤10.配置相关流量的路由。

ipv6 route FC00::/64 2012::1

本地路由器最终配置

ipv6 unicast-routing
!
interface GigabitEthernet1
ipv6 address 2001:DB8:0:A::1/64
no shutdown

!

interface GigabitEthernet2
ipv6 address FC00::1/64
no shutdown

!

ipv6 route ::/0 GigabitEthernet1

!

crypto isakmp policy 10
encryption aes
authentication pre-share
group 14

!

crypto keyring IPV6_KEY 
pre-shared-key address ipv6 2001:DB8:0:B::1/128 key cisco123

!

crypto isakmp profile ISAKMP_PROFILE_LAB
keyring IPV6_KEY
match identity address ipv6 2001:DB8:0:B::1/128 

!

crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha-hmac 
mode tunnel

!

crypto ipsec profile Prof1
 set transform-set ESP-AES-SHA

!

interface Tunnel0
 no ip address
 ipv6 address 2012::1/64
 ipv6 enable
 tunnel source GigabitEthernet1
 tunnel mode ipsec ipv6
 tunnel destination 2001:DB8:0:B::1
 tunnel protection ipsec profile Prof1
end

!

ipv6 route FC00::/64 2012::1

远程路由器最终配置

ipv6 unicast-routing
!
interface GigabitEthernet1
ipv6 address 2001:DB8:0:B::1/64
no shutdown

!

interface GigabitEthernet2
ipv6 address FC01::1/64
no shutdown

!

ipv6 route ::/0 GigabitEthernet1

!

crypto isakmp policy 10
encryption aes
authentication pre-share
group 14

!

crypto keyring IPV6_KEY 
pre-shared-key address ipv6 2001:DB8:0:A::1/128 key cisco123

!

crypto isakmp profile ISAKMP_PROFILE_LAB
keyring IPV6_KEY
match identity address ipv6 2001:DB8:0:A::1/128 

!

crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha-hmac 
mode tunnel

!

crypto ipsec profile Prof1
 set transform-set ESP-AES-SHA

!

interface Tunnel0
 no ip address
 ipv6 address 2012::2/64
 ipv6 enable
 tunnel source GigabitEthernet1
 tunnel mode ipsec ipv6
 tunnel destination 2001:DB8:0:A::1
 tunnel protection ipsec profile Prof1
end

!

ipv6 route FC00::/64 2012::1

故障排除

要对隧道进行故障排除，请使用debug命令：

debug crypto isakmp
debug crypto isakmp error
debug crypto ipsec
debug crypto ipsec error

修订历史记录

版本	发布日期	备注
1.0	15-Jan-2025	初始版本

由思科工程师提供

艾康特·赖
思科TAC工程师

此文档是否有帮助?

反馈

联系我们

提交支持案例
(需要思科服务合同)

本文档适用于以下产品

FlexVPN