实验编址
设备 | 端口 | ip地址 | 子网掩码 |
---|---|---|---|
pc1 | # | 172.16.20.1 | 255.255.255.0 |
pc2 | # | 172.16.10.1 | 255.255.255.0 |
路由器r1 | f0/0 | 172.16.20.254 | 255.255.255.0 |
路由器r1 | f0/1 | 172.16.10.254 | 255.255.255.0 |
路由器r1 | eth1/0 | 110.0.0.1 | 255.255.255.252 |
路由器r2 | f0/0 | 110.0.0.2 | 255.255.255.252 |
路由器r2 | f0/1 | 100.0.0.2 | 255.255.255.252 |
路由器r3 | f0/0 | 100.0.0.1 | 255.255.255.252 |
路由器r3 | f0/1 | 200.0.0.1 | 255.255.255.252 |
路由器r4 | f0/0 | 200.0.0.2 | 255.255.255.252 |
路由器r4 | f0/1 | 10.10.33.254 | 255.255.255.0 |
服务器 | # | 10.10.33.1 | 255.255.255.0 |
路由器R1的配置:
1.配置ISAKMP策略
R1(config)#crypto isakmp policy 1 // 配置密码ISAKMP策略1
R1(config-isakmap)#encryption 3des //使用加密方式为3DES加密(定义保密级别)
R1(config-isakmap)#hash sha //指定加密算法为sha(MD5执行速度较快,但其安全性相对SHA稍差一点 )
R1(config-isakmap)#authentication pre-share //采用共享秘钥的方式
R1(config-isakmap)#group 2 //指定DH算法的密钥长度为组2(DH组1的有效 密钥长度为768,DH组2的有效密钥长度为1 024, DH组 5 的有效密钥长度为1 536 密)
R1(config)#crypto isakmp key tedu address 200.0.0.2 //配置预共享密钥的密钥为:tedu,远程对等体的IP地址为200.0.0.2((需要加密的外网地址)
3.配置动态路由
路由器R1的配置:
Router(config)#router ospf 1
Router(config-router)#network 172.16.20.0 0.0.0.255 area 0
Router(config-router)#network 172.16.10.0 0.0.0.255 area 0
Router(config-router)#network 110.0.0.0 0.0.0.255 area 0
4.配置ACL
R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255
R1(config)#access-list 101 permit ip 172.16.20.0 0.0.0.255 10.10.33.0 0.0.0.255
配 //访问列表100允许IP172.16.10.0 172.16.20.0 0.0.0 网段访问10.10.33.0网段,通配符都为0.0.0.255(匹配前24位)
5.配置IPSec策略(转换集)
R1(config)#crypto ipsec transform-set yf-set ah-sha-hmac esp-des // transform-set: 转换集// cisco:转换集的名称// esp-des:用ESP做封装,用des做加密// esp-sha-hmac:用ESP封装,用sha做哈希
6.配置加密映射集
R1(config)#crypto map yf-map 1 ipsec-isakmp //对第二阶段的策略做汇总,定义了一个加密图,配置个map id,根据MAP ID来执行任务将多个策略汇总到一个MAP中,然后在端口中调用
R1(config-crypto-map)#set peer 200.0.0.2 //配置对等体的要加密的地址
R1(config-crypto-map)#set transform-set yf-set //调用yf-set
R1(config-crypto-map)#match address 100 //调用ACL 100
R1(config-crypto-map)#match address 101 //调用ACL 101
7.将映射集应用在接口
R1(config)#interface ethe1/0
R1(config-if)#crypto map yf-map // 将端口映射在外网端口(在外网端口调用)
路由器R2配置
配置动态路由
Router(config)#router ospf 1
Router(config-router)#network 110.0.0.0 0.0.0.255 area 0
Router(config-router)#network 110.0.0.0 0.0.0.255 area 0
路由器R3配置
配置动态路由
Router(config)#router ospf 1
Router(config-router)#network 100.0.0.0 0.0.0.255 area 0
Router(config-router)#network 200.0.0.0 0.0.0.255 area 0
路由器R4配置
.IPSec ***的配置
R3(config)#crypto isakmp policy 1
R3(config-isakmap)#encryption 3des
R3(config-isakmap)#hash sha
R3(config-isakmap)#authentication pre-share
R3(config-isakmap)#group 2
R3(config)#crypto isakmp key tedu address 110.0.0.1
R3(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255
R3(config)#access-list 101 permit ip 10.10.33.0 0.0.0.255 172.16.20.0 0.0.0.255
R3(config)#crypto ipsec transform-set yf-set esp-des ah-sha-hmac
R3(config)#crypto map yf-map 1 ipsec-isakmp
R3(config-crypto-map)#set peer 110.0.0.1
R3(config-crypto-map)#set transform-set yf-set
R3(config-crypto-map)#match address 100
R3(config-crypto-map)#match address 101
R2(config)#interface f0/0
R3(config)#interface f0/0 R2(config-if)#crypto map yf-map
配置动态路由
Router(config)#router ospf 1
Router(config-router)#network 10.10.33.0 0.0.0.255 area 0
Router(config-router)#network 200.0.0.0 0.0.0.255 area 0
验证
pc1 ping 服务器
pc2 ping 服务器