×××的配置

 實驗目的：

熟悉×××的工作原理，能夠在Cisco路由器上配置IPsec ×××

實驗環境拓撲圖及要求：

 

建議：

1. Router 可用7200模擬實現，IOS型號：unzip-c7200-advsecurityk9-mz.124-9.T1.bin

2. PC可用模擬PC實現

要求：

1、 實現全網互通

2、 實現50.50.50.0網段和60.60.60.0網段間的×××連接

實驗步驟：【必寫】

分類寫出你的實驗進行中的步驟,可用文字或圖片加水印標記

RA:

en

conf t

no ip domain-lo

host RA

int f0/0

ip add 50.50.50.50 255.255.255.0

no sh

exit

int f1/0

ip add 20.20.20.21 255.255.255.0 //配置接口IP地址

no sh

exit

ip route 0.0.0.0 0.0.0.0 20.20.20.20 //配置默認路由

access-list 101 permit ip 50.50.50.0 0.0.0.255 60.60.60.0 0.0.0.255 //配置訪問列表

crypto isakmp policy 1 //配置IKE的策略和優先級

hash md5 //配置加密算法

encryption 3des //配置封裝算法

lifetime 10000 //配置生存時間

authentication pre-share //配置預定義共享密碼

crypto isakmp key bt0901jl address 20.20.20.20 //配置IKE密碼

crypto ipsec transform-set bt92 ah-md5-hmac esp-3des //配置身份驗證和加密算法

crypto map bt 1 ipsec-isakmp //創建MAP

set peer 20.20.20.20 //對端地址

set transform-set bt92 //命名transform

match address 101 //映射訪問列表

int f1/0

crypto map bt //綁定到廣域網接口上

end

----------------------------------------------

RB:

en

conf t

no ip domain-lo

host RB

int f1/0

ip add 60.60.60.60 255.255.255.0

no sh

exit

int f0/0

ip add 20.20.20.20 255.255.255.0

no sh

exit

ip route 0.0.0.0 0.0.0.0 20.20.20.21

access-list 101 permit ip 60.60.60.0 0.0.0.255 50.50.50.0 0.0.0.255

crypto isakmp policy 1

hash md5

encryption 3des

lifetime 10000

authentication pre-share

crypto isakmp key bt0901jl address 20.20.20.21

crypto ipsec transform-set bt92 ah-md5-hmac esp-3des

crypto map bt 1 ipsec-isakmp

set peer 20.20.20.21

set transform-set bt92

match address 101

int f0/0

crypto map bt

end

---------------------------------------------------

pc1:

en

conf t

no ip routing

no ip domain-lo

host pc1

int f1/0

ip add 50.50.50.1 255.255.255.0

no sh

exit

ip default-gate 50.50.50.50

end

------------------------------------------------------

pc2:

en

conf t

no ip routing

no ip domain-lo

host pc2

int f1/0

ip add 60.60.60.1 255.255.255.0

no sh

exit

ip default-gate 60.60.60.60

end

------------------------------------------------------

查看IKE策略，描述策略中的內容

Router# show crypto isakmp policy

查看IPsce的封裝策略，描述內容，說明當前的封裝方式是傳輸模式還是隧道模式。

Router# show crypto ipsec transform-set

查看正使用的ISAKMP SA信息，分析和對端建立的×××連接。

Router#show crypto isakmp sa

查看正使用的IP sec SA 信息，指出當前經過×××封裝的數據流量

Router# show crypto ipsec sa

查看應用在路由器上的映射列表，描述其內容。

Router# show crypto map

1.

實驗結論及排除思路或命令：【必寫】

1. 寫出通過本次上機實驗操作,你得出了什麼樣的結論

2. 實驗中出現的錯誤及排錯方法

備 注：【可選】

寫出你在實驗中遇到的問題或者是新的發現或者新的解決方法（心得體會）

參看配置命令：

配置路由：

RouterA(config)# ip route 0.0.0.0 0.0.0.0 20.20.20.20

配置IKE協商策略

RouterA(config)#crypto isakmp policy 1

RouterA(config-isakmap)#hash md5

RouterA(config-isakmap)#authentication pre?share

RouterA(config)#crypto isakmp key benet-password address 20.20.20.20

配置ACL

RouterA(config)#access?list 101 permit ip 50.50.50.0 0.0.0.255 60.60.60.0 0.0.0.255

配置封裝策略

RouterA(config)#crypto ipsec transform?set benetset ah?md5?hmac esp?des

配置×××的映射

RouterA(config)#crypto map benetmap 1 ipsec?isakmp

RouterA(config-crypto-map)#set peer 20.20.20.20

RouterA(config-crypto-map)#set transform?set benetset

RouterA(config-crypto-map)#match address 101

將映射應用到接口

RouterA(config)#interface serial 0/0

RouterA(config-if)# crypto map benetmap