實驗目的:
熟悉×××的工作原理,能夠在Cisco路由器上配置IPsec ×××
實驗環境拓撲圖及要求:
建議:
1. Router 可用7200模擬實現,IOS型號:unzip-c7200-advsecurityk9-mz.124-9.T1.bin
2. PC可用模擬PC實現
要求:
1、 實現全網互通
2、 實現50.50.50.0網段和60.60.60.0網段間的×××連接
實驗步驟:【必寫】
分類寫出你的實驗進行中的步驟,可用文字或圖片加水印標記
RA:
en
conf t
no ip domain-lo
host RA
int f0/0
ip add 50.50.50.50 255.255.255.0
no sh
exit
int f1/0
ip add 20.20.20.21 255.255.255.0 //配置接口IP地址
no sh
exit
ip route 0.0.0.0 0.0.0.0 20.20.20.20 //配置默認路由
access-list 101 permit ip 50.50.50.0 0.0.0.255 60.60.60.0 0.0.0.255 //配置訪問列表
crypto isakmp policy 1 //配置IKE的策略和優先級
hash md5 //配置加密算法
encryption 3des //配置封裝算法
lifetime 10000 //配置生存時間
authentication pre-share //配置預定義共享密碼
crypto isakmp key bt0901jl address 20.20.20.20 //配置IKE密碼
crypto ipsec transform-set bt92 ah-md5-hmac esp-3des //配置身份驗證和加密算法
crypto map bt 1 ipsec-isakmp //創建MAP
set peer 20.20.20.20 //對端地址
set transform-set bt92 //命名transform
match address 101 //映射訪問列表
int f1/0
crypto map bt //綁定到廣域網接口上
end
----------------------------------------------
RB:
en
conf t
no ip domain-lo
host RB
int f1/0
ip add 60.60.60.60 255.255.255.0
no sh
exit
int f0/0
ip add 20.20.20.20 255.255.255.0
no sh
exit
ip route 0.0.0.0 0.0.0.0 20.20.20.21
access-list 101 permit ip 60.60.60.0 0.0.0.255 50.50.50.0 0.0.0.255
crypto isakmp policy 1
hash md5
encryption 3des
lifetime 10000
authentication pre-share
crypto isakmp key bt0901jl address 20.20.20.21
crypto ipsec transform-set bt92 ah-md5-hmac esp-3des
crypto map bt 1 ipsec-isakmp
set peer 20.20.20.21
set transform-set bt92
match address 101
int f0/0
crypto map bt
end
---------------------------------------------------
pc1:
en
conf t
no ip routing
no ip domain-lo
host pc1
int f1/0
ip add 50.50.50.1 255.255.255.0
no sh
exit
ip default-gate 50.50.50.50
end
------------------------------------------------------
pc2:
en
conf t
no ip routing
no ip domain-lo
host pc2
int f1/0
ip add 60.60.60.1 255.255.255.0
no sh
exit
ip default-gate 60.60.60.60
end
------------------------------------------------------
查看IKE策略,描述策略中的內容
Router# show crypto isakmp policy
查看IPsce的封裝策略,描述內容,說明當前的封裝方式是傳輸模式還是隧道模式。
Router# show crypto ipsec transform-set
查看正使用的ISAKMP SA信息,分析和對端建立的×××連接。
Router#show crypto isakmp sa
查看正使用的IP sec SA 信息,指出當前經過×××封裝的數據流量
Router# show crypto ipsec sa
Router# show crypto map
1.
實驗結論及排除思路或命令:【必寫】
1. 寫出通過本次上機實驗操作,你得出了什麼樣的結論
2. 實驗中出現的錯誤及排錯方法
備 注:【可選】
寫出你在實驗中遇到的問題或者是新的發現或者新的解決方法(心得體會)
參看配置命令:
配置路由:
RouterA(config)# ip route 0.0.0.0 0.0.0.0 20.20.20.20
配置IKE協商策略
RouterA(config)#crypto isakmp policy 1
RouterA(config-isakmap)#hash md5
RouterA(config-isakmap)#authentication pre?share
RouterA(config)#crypto isakmp key benet-password address 20.20.20.20
配置ACL
RouterA(config)#access?list 101 permit ip 50.50.50.0 0.0.0.255 60.60.60.0 0.0.0.255
配置封裝策略
RouterA(config)#crypto ipsec transform?set benetset ah?md5?hmac esp?des
配置×××的映射
RouterA(config)#crypto map benetmap 1 ipsec?isakmp
RouterA(config-crypto-map)#set peer 20.20.20.20
RouterA(config-crypto-map)#set transform?set benetset
RouterA(config-crypto-map)#match address 101
將映射應用到接口
RouterA(config)#interface serial 0/0
RouterA(config-if)# crypto map benetmap