實驗案例：Site to Site IPSec ***的配置

需求描述

3家公司之間所有的流量必須通過IPSec ***實現加密傳輸

3家公司各自訪問Internet 的流量通過NAT技術實現

實現思路

在R1與R2之間配置IPSec ***

在R1與R3之間配置IPSec ***

在R2與R3之間配置IPSec ***

配置PAT實現內網訪問Internet

說明

Router1 F0/0 <----> Router4 F0/0

Router2 F0/0 <----> Router4 F1/0

Router3 F0/0 <----> Router4 F2/0

各接口地址與書上一致，配置過程省略。R4模擬ISP

在R1與R2之間配置IPSec ***

r1(config)#ip route 0.0.0.0 0.0.0.0 200.0.10.2 //配置一條默認路由，用於香港訪問公

網

配置ISAKMP策略階段一

r1(config)#crypto isakmp policy 1 //建立管理連接策略

r1(config-isakmp)#encryption 3des //指定管理連接建立後的最後兩個數據報文（用於身份驗證）採用何種加密算法

r1(config-isakmp)#hash sha //驗證過程中採用HMAC的功能

r1(config-isakmp)#authentication pre-share //指定身份驗證的方式

r1(config-isakmp)#group 2 // 路由器默認組1 防火牆默認組2 最後越大越安全

r1(config-isakmp)#lifetime 10000 //管理連接的生存週期，其他廠商設備這個值必須設置一樣

r1(config-isakmp)#exit

r1(config)#crypto isakmp key 0 benet address 200.0.20.1 //配置預共享密鑰0 代表明文密碼爲benet 對等體的地址爲R2的F0/0接口地址。

階段一配置結束。

階段二配置命令

r1(config)#access-list 100 permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 //定義何種數據流需要被保護

r1(config)#crypto ipsec transform-set benet-set esp-des ah-sha-hmac //定義傳輸集以及加密和驗證的方式

r1(config)#crypto ipsec security-association lifetime seconds 1800 //設定生存週期

r1(config)#crypto map mymap 1 ipsec-isakmp //配置加密映射，映射名爲mymap

序列號爲

1 數值越小優先級越高

r1(config-crypto-map)#set peer 200.0.20.1 //對等體地址

r1(config-crypto-map)#set transform-set benet-set //指定傳輸集名稱

r1(config-crypto-map)#match address 100 //調用指定的匹配數據流

r1(config)#int f0/0

r1(config-if)#crypto map mymap //在接口上應用映射

R2配置：

r2(config)#ip route 0.0.0.0 0.0.0.0 200.0.20.2

r2(config)#crypto isakmp policy 1

r2(config-isakmp)#encryption 3des

r2(config-isakmp)#hash sha

r2(config-isakmp)#authentication pre-share

r2(config-isakmp)#group 2

r2(config-isakmp)#lifetime 10000

r2(config-isakmp)#exit

r2(config)#crypto isakmp key 0 benet address 200.0.10.1 //該密碼應該與R1中設置的密碼一致

r2(config)#access-list 100 permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

r2(config)#crypto ipsec transform-set benet-set esp-des ah-sha-hmac

r2(config)#crypto ipsec security-association lifetime seconds 1800

r2(config)#crypto map mymap 1 ipsec-isakmp

r2(config-crypto-map)#set peer 200.0.10.1

r2(config-crypto-map)#set transform-set benet-set

r2(config-crypto-map)#match address 100

r2(config-crypto-map)#exit

r2(config)#int f0/0

r2(config-if)#crypto map mymap

在R1與R3之間配置IPSec ***

R3配置

r3(config)#ip route 0.0.0.0 0.0.0.0 200.0.30.2

r3(config)#crypto isakmp policy 1

r3(config-isakmp)#encryption 3des

r3(config-isakmp)#hash sha

r3(config-isakmp)#authentication pre-share

r3(config-isakmp)#group 2

r3(config-isakmp)#lifetime 10000

r3(config-isakmp)#exit

r3(config)#crypto isakmp key 0 benet address 200.0.10.1 //該密碼應該與R1中設置的密碼一致

r3(config)#access-list 100 permit ip 3.3.3.0 0.0.0.255 1.1.1.0 0.0.0.255

r3(config)#crypto ipsec transform-set benet-set esp-des ah-sha-hmac

r3(cfg-crypto-trans)#exit

r3(config)#crypto ipsec security-association lifetime seconds 1800

r3(config)#crypto map mymap 1 ipsec-isakmp

r3(config-crypto-map)#set peer 200.0.10.1

r3(config-crypto-map)#set transform-set benet-set

r3(config-crypto-map)#match address 100

r3(config-crypto-map)#exit

r3(config)#int f0/0

r3(config-if)#crypto map mymap

R1配置：

R1的參數和R2已經配置過，不需要重新配置，只需要添加與R3有關的參數即可

r1(config)#crypto isakmp key 0 benet address 200.0.30.1 //配置R1與R3的預共享密鑰

r1(config)#access-list 100 permit ip 1.1.1.0 0.0.0.255 3.3.3.0 0.0.0.255 // 添加去R3 的受保護數據流

r1(config)#crypto map mymap 1 ipsec-isakmp

r1(config-crypto-map)#set peer 200.0.30.1 //添加一個對等體

在R2與R3之間配置IPSec ***

R2上的配置：

r2(config)#crypto isakmp key 0 accp address 200.0.30.1

r2(config)#access-list 100 permit ip 2.2.2.0 0.0.0.255 3.3.3.0 0.0.0.255

r2(config)#crypto map mymap 1 ipsec-isakmp

r2(config-crypto-map)#set peer 200.0.30.1

r2(config-crypto-map)#exit

R1上的配置：

r3(config)#access-list 100 permit 3.3.3.0 0.0.0.255 2.2.2.0 0.0.0.255

r3(config)#crypto isakmp key 0 accp address 200.0.20.1

r3(config)#crypto map mymap 1 ipsec-isakmp

r3(config-crypto-map)#set peer 200.0.20.1

r3(config-crypto-map)#exit

配置PAT實現內網訪問Internet

R1的配置：

r1(config)#access-list 101 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

r1(config)#access-list 101 deny ip 1.1.1.0 0.0.0.255 3.3.3.0 0.0.0.255

r1(config)#access-list 101 permit ip 1.1.1.0 0.0.0.255 any

r1(config)#ip nat inside source list 101 interface f0/0 overload

r1(config)#int f0/0

r1(config-if)#ip nat outside

r1(config)#int loopback 0

r1(config-if)#ip nat inside

R2的配置：

r2(config)#access-list 101 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

r2(config)#access-list 101 deny ip 2.2.2.0 0.0.0.255 3.3.3.0 0.0.0.255

r2(config)#access-list 101 permit ip 2.2.2.0 0.0.0.255 any

r2(config)#ip nat inside source list 101 interface f0/0 overload

r2(config)#int f0/0

r2(config-if)#ip nat outside

r2(config)#int loopback 0

r2(config-if)#ip nat inside

R3的配置：

R3(config)#access-list 101 deny ip 3.3.3.0 0.0.0.255 2.2.2.0 0.0.0.255

R3(config)#access-list 101 deny ip 3.3.3.0 0.0.0.255 1.1.1.0 0.0.0.255

R3(config)#access-list 101 permit ip 3.3.3.0 0.0.0.255 any

R3(config)#ip nat inside source list 101 interface f0/0 overload

R3(config)#int f0/0

R3(config-if)#ip nat outside

R3(config)#int loopback 0

R3(config-if)#ip nat inside

驗證效果，在ISP 上開啓一個loopback接口配置一個4.4.4.4模擬外網，全網互通。

階段2

北京到上海的***流量間接訪問北京公司內網不能直接訪問上海公司內網

流量必須經過香港的網關路由器

實現思路

清除R2與R3之間的IPSec ***配置

修改R1的ACL配置

清除R2與R3之間的IPSec ***配置

r2(config)#no crypto isakmp key 0 accp address 200.0.30.1

r2(config)#crypto map mymap 1 ipsec-isakmp

r2(config-crypto-map)#no set peer 200.0.30.1

r3(config)#no crypto isakmp key 0 accp address 200.0.20.1

r3(config)#crypto map mymap 1 ipsec-isakmp

r3(config-crypto-map)#no set peer 200.0.20.1

修改R1的ACL配置

r1(config)#access-list 100 permit ip 2.2.2.0 0.0.0.255 3.3.3.0 0.0.0.255 //在R1 上修改保護的數據流量，轉發R2訪問R3的數據流

r1(config)#access-list 100 permit ip 3.3.3.0 0.0.0.255 2.2.2.0 0.0.0.255 //轉發R3 訪問R2 的數據流量

驗證實驗效果