實驗環境:DynamipsGUI 2.8_CN
實驗拓撲:
實驗目的: 1):通過配置ipsec ***,讓我們對ipsec ***的工作原理有更深的認識。
2):掌握ipsec ***的配置方法,對它在網絡上的應用有更深的瞭解。
實驗要求: 1):知道什麼是***、ipsec和IKE
2):簡述ipsec *** 的工作過程
實驗內容: 在PC1和PC3之間建立通信,讓PC2與PC3不可以相互訪問。
實驗步驟:
R1:
R1(config)#int s1/0
R1(config-if)#ip add 200.1.1.1 255.255.255.0
R1(config-if)#clock rate 64000
R1(config-if)#no sh
R1(config)#int e0/1
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#no sh
R1(config)#int e0/2
R1(config-if)#ip add 192.168.2.1 255.255.255.0
R1(config-if)#no sh
R1(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.2
R2(ISP):
ISP(config)#int s0/0
ISP(config-if)#ip add 200.1.1.2 255.255.255.0
ISP(config-if)#no sh
ISP(config)#int s0/1
ISP(config-if)#ip add 200.1.2.1 255.255.255.0
ISP(config-if)#clock rate 64000
ISP(config-if)#no sh
R3:
R3(config)#int s1/0
R3(config-if)#ip add 200.1.2.2 255.255.255.0
R3(config-if)#no sh
R3(config)#int e0/0
R3(config-if)#ip add 192.168.3.1 255.255.255.0
R3(config-if)#no sh
R3(config)#ip route 0.0.0.0 0.0.0.0 200.1.2.1
二、配置IKE IPSEC ***
R1:
1.配置IPsec策略協商:
R1(config)#crypto isakmp enable //啓動IKE的協議
R1(config)#crypto isakmp policy 1 //建立IKE的協商策略,“1爲優先級,值越小越優先”
R1(config-isakmp)#encryption des //加密算法爲des
R1(config-isakmp)#hash md5 //認證算法爲md5
R1(config-isakmp)#authentication pre-share 身份驗證爲“預共享密鑰”
R1(config-isakmp)#lifetime 60 //每60秒發送一次hello包,保持連通性
R1(config-isakmp)#group 1
2.配置IKE的與共享密鑰,與對端IP地址
R1(config)#crypto isakmp key 0 kfp address 200.1.2.2 //設置共享密鑰和對端地址
3.配置IPSEC 轉換集(IPSEC 策略的安全提議)
R1(config)#crypto ipsec transform-set R1-tran esp-des esp-md5-hmac
// R1-tran是轉換集的名字,esp-des表示用des加密算法,esp-md5-hmac
表示用sha算法驗證
R1(cfg-crypto-tran)#mode tunnel //IPSEC的工作模式是tunnel
4.配置IPSEC保護的數據流(保護對象)(ACL)
R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
//允許192.168.1.0網段裏的主機能訪問192.168.3.0網段裏的主機
5.配置IPSEC策略
R1(config)# crypto map R1-map 10 ipsec-isakmp
R1(config-crypto-map)#match address 102 //它的保護對象是acl 102中定義的
R1(config-crypto-map)#set peer 200.1.2.2 //對等體(對端IP地址)爲200.1.2.2
R1(config-crypto-map)#set transform-set R1-tran //調用轉換集R1-tran
6.將策略應用到接口
1(config)#int s1/0
R1(config-if)#crypto map R1-map
R3:
1.配置IPsec策略協商:
R3(config)#crypto isakmp enable //啓動IKE的協議
R3(config)#crypto isakmp policy 1 //建立IKE的協商策略,“1爲優先級,值越小越優先”
R3(config-isakmp)#encryption des //加密算法爲des
R3(config-isakmp)#hash md5 //認證算法爲md5
R3(config-isakmp)#authentication pre-share 身份驗證爲“預共享密鑰”
R3(config-isakmp)#lifetime 60 //每60秒發送一次hello包,保持連通性
R3(config-isakmp)#group 1
2.配置IKE的與共享密鑰,與對端IP地址
R3(config)#crypto isakmp key 0 kfp address 200.1.1.1 //設置共享密鑰和對端地址
3.配置IPSEC 轉換集(IPSEC 策略的安全提議)
R3(config)#crypto ipsec transform-set R3-tran esp-des esp-md5-hmac
// R3-tran是轉換集的名字,esp-des表示用des加密算法,esp-md5-hmac
表示用sha算法驗證
R3(cfg-crypto-tran)#mode tunnel //IPSEC的工作模式是tunnel
4.配置IPSEC保護的數據流(保護對象)(ACL)
R3(config)#access-list 102 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
//允許192.168.3.0網段裏的主機能訪問192.168.1.0網段裏的主機
5.配置IPSEC策略
R3(config)# crypto map R3-map 10 ipsec-isakmp
R3(config-crypto-map)#match address 102 //它的保護對象是acl 102中定義的R3(config-crypto-map)#set peer 200.1.1.1 //對等體(對端IP地址)爲200.1.2.2
R3(config-crypto-map)#set transform-set R3-tran //調用轉換集R3-tran
6.將策略應用到接口
1(config)#int s1/0
R3(config-if)#crypto map R3-map
三、查看配置信息:
配置好以後,可以在特權模式下使用“ show crypto isakmp policy ”來查看IKE的策略
R1:
“show crypto ipsec transform-set ”查看IPSEC策略![]()
“show crypto ipsec sa ”查看SA信息: ![]()
“show crypto map ”查看加密映射:![]()
同樣的方法查看R3的配置信息,這裏不再演示!!
四、驗證:
配置虛擬PC的ip地址:
PC1:192.168.1.2 192.168.1.1 255.255.255.0
//PC1的ip地址是192.168.1.2,網關是192.168.1.1,子網掩碼是255.255.255.0
PC2: 192.168.2.2 192.168.2.1 255.255.255.0
//PC2的ip地址是192.168.2.2,網關是192.168.2.1,子網掩碼是255.255.255.0
PC3: 192.168.3.2 192.168.3.1 255.255.255.0
//PC2的ip地址是192.168.3.2,網關是192.168.3.1,子網掩碼是255.255.255.0
PC1(192.168.1.2) 與PC3(192.168.3.2)互ping結果如下:![]()
說明:PC1和PC3能相互ping通!!
PC2(192.168.2.2) 與PC3(192.168.3.2)互ping結果如下:![]()
說明:PC2和PC3不能相互ping通!!
實驗完成!!
如果客戶機需要上網,還需要在R1和R3上做NAT技術,具體操作請看前面一篇文章(NAT+IPSEC)!!就不在這裏過多的介紹了!
此實驗是在小凡模擬器上完成,需要IOS的網友可以聯繫本人 Q:821972656