Cisco VTI tunnel 完整配置

crypto keyring KEY_RING
 pre-shared-key address 192.168.200.2 key fortigate
!
crypto isakmp policy 11
 encr aes 256
 hash sha256
 authentication pre-share
 group 2
!
crypto ipsec transform-set ROUTER-IPSEC esp-aes 256 esp-sha512-hmac
 mode tunnel
!
crypto ipsec profile FORTINET
 set transform-set ROUTER-IPSEC
!
!
!
!
!
!
interface Loopback1
 ip address 5.5.5.5 255.255.255.255
!
interface Tunnel1
 description !!! To FortiGate !!!
 ip address 192.168.170.90 255.255.255.252
 load-interval 30
 tunnel source 192.168.200.1
 tunnel mode ipsec ipv4
 tunnel destination 192.168.200.2
 tunnel protection ipsec profile FORTINET
!

📌 配置解读（Cisco IOS IPSec VPN 配置）

这是一份Cisco IOS 路由器的 IPSec VPN 隧道配置，用于和 FortiGate 防火墙建立站点到站点（Site-to-Site）VPN 连接，各模块作用如下：

1. 预共享密钥配置

crypto keyring KEY_RING
 pre-shared-key address 192.168.200.2 key fortigate

定义名为 KEY_RING 的密钥环，为对端 IP 192.168.200.2（FortiGate）配置预共享密钥 fortigate，用于 IKE 阶段 1 身份认证。

2. IKE 策略（ISAKMP 阶段 1）

crypto isakmp policy 11
 encr aes 256
 hash sha256
 authentication pre-share
 group 2

优先级 11（数值越小优先级越高），协商 IKE SA 参数：
- 加密算法：AES-256
- 哈希算法：SHA-256
- 认证方式：预共享密钥
- DH 密钥交换组：Group 2（1024 位，安全性较低，建议升级为 Group 14/19/20）

3. IPSec 变换集（阶段 2）

crypto ipsec transform-set ROUTER-IPSEC esp-aes 256 esp-sha512-hmac
 mode tunnel

定义名为 ROUTER-IPSEC 的变换集，用于 IPSec SA 协商：
- ESP 加密：AES-256
- ESP 认证：SHA-512 HMAC
- 隧道模式（标准站点间 VPN 模式）

4. IPSec 配置文件

crypto ipsec profile FORTINET
 set transform-set ROUTER-IPSEC

定义名为 FORTINET 的 IPSec 配置文件，绑定上述变换集，用于隧道接口调用。

5. 接口配置

Loopback1：环回接口，IP 5.5.5.5/32，通常用于 VPN 隧道的源 / 目的地址、路由协议邻居等。
Tunnel1：虚拟隧道接口，核心配置：
- 隧道 IP：192.168.170.90/30（对端为 192.168.170.89）
- 源地址：192.168.200.1（路由器公网 / 互联口 IP）
- 目的地址：192.168.200.2（FortiGate 公网 / 互联口 IP）
- 绑定 IPSec 配置文件 FORTINET，启用 IPSec IPv4 隧道模式

⚠️ 优化建议

DH 组升级：Group 2（1024 位）安全性不足，建议替换为 Group 14（2048 位）、Group 19（256 位 ECC）或 Group 20（384 位 ECC）。
IKE 生命周期：建议补充 lifetime 86400（默认 86400 秒，可按需调整）。
NAT 穿越：若两端存在 NAT，需补充 crypto isakmp nat-traversal 启用 NAT-T。
ACL 与路由：需补充感兴趣流 ACL（crypto isakmp key 对应 ACL）、静态路由 / 动态路由，确保 VPN 流量可达。

需要我帮你补全这份配置缺失的感兴趣流 ACL、NAT 豁免和路由，生成可直接部署的完整版本吗？

好的

完整可部署 Cisco IOS IPSec VPN 配置（含 ACL/NAT/ 路由）

以下是基于你原始配置补全的全量可用版本，包含感兴趣流 ACL、NAT 豁免、静态路由，可直接复制到路由器部署，同时保留了你原配置的核心参数。

📝 完整配置代码

ios

! ================= 1. 基础密钥与 IKE 策略（保留原配置，优化 DH 组） =================
crypto keyring KEY_RING
 pre-shared-key address 192.168.200.2 key fortigate
!
crypto isakmp policy 11
 encr aes 256
 hash sha256
 authentication pre-share
 group 14  ! 从 Group 2 升级为 2048 位，提升安全性
 lifetime 86400  ! 新增 IKE 生命周期，默认 24 小时
!
! ================= 2. IPSec 变换集与配置文件（保留原配置） =================
crypto ipsec transform-set ROUTER-IPSEC esp-aes 256 esp-sha512-hmac
 mode tunnel
!
crypto ipsec profile FORTINET
 set transform-set ROUTER-IPSEC
!
! ================= 3. 核心：VPN 感兴趣流 ACL（必选，定义加密流量） =================
! 格式：permit ip 本地私网网段 反掩码 对端私网网段 反掩码
! 示例：假设本地私网为 192.168.1.0/24，对端私网为 192.168.2.0/24，请替换为你的实际网段
ip access-list extended VPN-INTEREST
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
! 可新增多行，添加多个需要加密的本地/对端网段组合
! permit ip 10.0.0.0 0.255.255.255 192.168.3.0 0.0.0.255
!
! ================= 4. NAT 豁免（必选，避免 VPN 流量被 NAT 转换） =================
! 仅当路由器配置了 NAT（如出口上网 PAT）时需要，无 NAT 可跳过
! 规则：本地私网与对端私网互访时，不做地址转换
object network LOCAL-NET
 subnet 192.168.1.0 255.255.255.0  ! 替换为你的实际本地私网
object network REMOTE-NET
 subnet 192.168.2.0 255.255.255.0  ! 替换为 FortiGate 侧实际私网
!
nat (inside,outside) source static LOCAL-NET LOCAL-NET destination static REMOTE-NET REMOTE-NET no-proxy-arp route-lookup
!
! ================= 5. 接口配置（保留原配置，补充说明） =================
interface Loopback1
 ip address 5.5.5.5 255.255.255.255
!
interface Tunnel1
 description !!! To FortiGate !!!
 ip address 192.168.170.90 255.255.255.252
 load-interval 30
 tunnel source 192.168.200.1
 tunnel mode ipsec ipv4
 tunnel destination 192.168.200.2
 tunnel protection ipsec profile FORTINET
!
! ================= 6. 静态路由（必选，指引 VPN 流量与内网流量） =================
! 路由 1：指向对端私网的流量，通过隧道接口转发（触发 IPSec 加密）
ip route 192.168.2.0 255.255.255.0 Tunnel1
! 路由 2：默认路由（指向出口网关，确保 IKE/IPsec 协商报文能到达对端）
ip route 0.0.0.0 0.0.0.0 192.168.200.254  ! 替换为你的实际出口网关 IP
!
! ================= 7. 可选：启用 IKE NAT 穿越（若两端在 NAT 设备后） =================
! crypto isakmp nat-traversal 30
!
! ================= 8. 保存配置 =================
write memory

📌 关键配置说明

1. 核心补全项（必改）

表格

配置项	作用	替换说明
VPN-INTEREST ACL	定义哪些流量需要走 VPN 加密	替换 `192.168.1.0/24`（本地私网）、`192.168.2.0/24`（FortiGate 侧私网）为你的实际网段
NAT 豁免对象	避免 VPN 流量被出口 NAT 转换	同步替换 `LOCAL-NET`/`REMOTE-NET` 为你的实际私网
默认路由	确保 IKE 协商报文能到达 FortiGate	替换 `192.168.200.254` 为你的出口网关 IP

2. 优化项（可选）

DH 组升级：原配置 group 2（1024 位）已升级为 group 14（2048 位），安全性更高，可保留。
IKE 生命周期：新增 lifetime 86400（24 小时），与 FortiGate 侧默认配置对齐，避免协商超时。
NAT-T：若路由器 / FortiGate 处于 NAT 设备后，取消 crypto isakmp nat-traversal 30 注释启用。

🧪 验证命令（部署后检查）

检查 IKE 阶段 1 协商状态：ios
```
show crypto isakmp sa
```
正常状态：QM_IDLE（表示协商成功）。
检查 IPSec 阶段 2 隧道状态：ios
```
show crypto ipsec sa
```
正常状态：显示 encap/decap 数据包计数（表示流量加密 / 解密成功）。
检查路由表：ios
```
show ip route
```
确认对端私网路由通过 Tunnel1 接口指向。
测试连通性：从本地内网 ping FortiGate 侧内网 IP，能通则配置生效。

⚠️ 配套要求（FortiGate 侧）

Cisco 与 FortiGate 建立 IPSec 需保证以下参数镜像：

IKE 策略：加密 aes-256、哈希 sha256、认证 pre-share、DH 组 14。
IPSec 策略：加密 aes-256、认证 sha512、模式 tunnel。
预共享密钥：必须与 Cisco 侧一致（fortigate）。
感兴趣流：与 Cisco 侧 VPN-INTEREST ACL 镜像（本地 / 对端网段互换）。

目录