华为路由器--***的配置

一、实验拓扑图

---

二、实验目的

1.AR1和AR3配置***专属通道，让PC1能够ping通PC2

---

三、实验所需的设备以及配置

1.PC机的配置

主机	IP地址/子网掩码	网关
PC1	192.168.1.1/24	192.168.1.254
PC2	192.168.2.1/24	192.168.2.254

2.路由器的配置

路由器	端口	IP地址/子网掩码
AR1	G0/0/0	192.168.1.254/24
AR1	G0/0/1	100.0.0.1/24
AR2	G0/0/0	100.0.0.2/24
AR2	G0/0/1	200.0.0.2/24
AR3	G0/0/0	200.0.0.1/24
AR3	G0/0/1	192.168.2.254/24

---

四、实验步骤

1.AR1配置

system-view //进入系统模式

[Huawei]sysname R1 //修改名称为R1

[R1]int g0/0/0 //进入端口g0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 //设置网关
[R1-GigabitEthernet0/0/0]quit //退出

[R1]int g0/0/1 //进入g1
[R1-GigabitEthernet0/0/1]ip add 100.0.0.1 24 //设置ip地址
[R1-GigabitEthernet0/0/1]quit //退出

[R1]ip route-static 0.0.0.0 0.0.0.0 100.0.0.2 //使用默认路由，设置静态路由，吓一跳为100.0.0.2

[R1]ike proposal 1 //设置ike协议组号为1
[R1-ike-proposal-1]encryption-algorithm 3des-cbc    //设置加密算法为3des-cbc
[R1-ike-proposal-1]authentication-algorithm md5 //身份验证算法为md5
[R1-ike-proposal-1]authentication-method pre-share //身份验证方法为共享方式
[R1-ike-proposal-1]dh group2 //设置ah组为第二组
[R1-ike-proposal-1]quit //退出

[R1]ike peer 200.0.0.1 v1 //设置ike协议的对点隧道ip为200.0.0.1，协议版本为v1版本
[R1-ike-peer-200.0.0.1]pre-shared-key simple tedu  //设置共享密钥，密码是简单方式的为tedu
[R1-ike-peer-200.0.0.1]ike-proposal 1 //加入ike协议组1
[R1-ike-peer-200.0.0.1]remote-address 200.0.0.1 //设置远程连接地址为 200.0.0.1
[R1-ike-peer-200.0.0.1]quit //退出

[R1]acl number 3000 //设置扩展acl 3000
[R1-acl-adv-3000]rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 //设置规则5 允许原网段192.168.1.0 可以访问目标网段192.168.2.0
[R1-acl-adv-3000]quit //退出

[R1]ipsec proposal 1 //设置ipsec组1
[R1-ipsec-proposal-1]transform ah-esp //设置转换加密算法ah-esp
[R1-ipsec-proposal-1]quit //退出

[R1]ipsec policy yf 1 isakmp //设置ipsec安全政策名称为yf序号为1
[R1-ipsec-policy-isakmp-yf-1]security acl 3000 //设置安全cal 3000
[R1-ipsec-policy-isakmp-yf-1]ike-peer 200.0.0.1 //设置ike协议的邻居为200.0.0.1
[R1-ipsec-policy-isakmp-yf-1]proposal 1 //设置使用协议组1
[R1-ipsec-policy-isakmp-yf-1]quit  //退出

[R1]int g0/0/1 //进入g1端口
[R1-GigabitEthernet0/0/1]ipsec policy yf //在端口使用ipsec政策yf
[R1-GigabitEthernet0/0/1]quit //退出

2.AR2的配置

system-view   //进入系统模式

[Huawei]sysname R2 //设置名称为R2

[R2]int g0/0/0 //进入端口g0
[R2-GigabitEthernet0/0/0]ip add 100.0.0.2 24 //设置ip地址
[R2-GigabitEthernet0/0/0]quit //退出

[R2]int g0/0/1 //进入端口g1
[R2-GigabitEthernet0/0/1]ip add 200.0.0.2 24 //设置ip地址
[R2-GigabitEthernet0/0/1]quit //退出

3.AR3的配置

system-view  //进入系统模式

[Huawei]sysname R3 //修改名称为R3

[R3]int g0/0/0 //进入端口g0
[R3-GigabitEthernet0/0/0]ip add 192.168.2.254 24 //设置网关
[R3-GigabitEthernet0/0/0]quit //退出

[R3]int g0/0/1 //进入端口g1
[R3-GigabitEthernet0/0/1]ip add 200.0.0.1 24 //设置网关
[R3-GigabitEthernet0/0/1]quit //退出

[R3]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2  //使用默认路由，设置静态路由，吓一跳为200.0.0.2

[R3]ike proposal 1 //设置ike协议组号为1
[R3-ike-proposal-1]encryption-algorithm 3des-cbc //设置加密算法为3des-cbc
[R3-ike-proposal-1]authentication-algorithm md5 //身份验证算法为md5
[R3-ike-proposal-1]authentication-method pre-share  //身份验证方法为共享方式
[R3-ike-proposal-1]dh group2 //设置ah组为第二组
[R3-ike-proposal-1]quit  //退出

[R3]ike peer 100.0.0.1 v1 //设置ike协议的对点隧道ip为100.0.0.1，协议版本为v1版本
[R3-ike-peer-100.0.0.1]pre-shared-key simple tedu //设置共享密钥，密码是简单方式的为tedu
[R3-ike-peer-100.0.0.1]ike-proposal 1 //加入ike协议组1
[R3-ike-peer-100.0.0.1]remote-address 100.0.0.1 //设置远程连接地址为 100.0.0.1
[R3-ike-peer-100.0.0.1]quit //退出

[R3]acl number 3000 //设置扩展acl 3000
[R3-acl-adv-3000]rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0  0.0.0.255 //设置规则5 允许原网段192.168.2.0 可以访问目标网段192.168.1.0
[R3-acl-adv-3000]quit //退出

[R3]ipsec proposal 1 //设置ipsec组1
[R3-ipsec-proposal-1]transform ah-esp //设置转换加密算法ah-esp
[R3-ipsec-proposal-1]quit //退出

[R3]ipsec policy yf 1 isakmp  //设置ipsec安全政策名称为yf序号为1
[R3-ipsec-policy-isakmp-yf-1]security acl 3000 //设置安全cal 3000
[R3-ipsec-policy-isakmp-yf-1]ike-peer 100.0.0.1 //设置ike协议的邻居为100.0.0.1
[R3-ipsec-policy-isakmp-yf-1]proposal 1 //设置使用协议组1
[R3-ipsec-policy-isakmp-yf-1]quit //退出

[R3]int g0/0/1 //进入端口g1
[R3-GigabitEthernet0/0/1]ipsec policy yf //在端口使用ipsec政策yf
[R3-GigabitEthernet0/0/1]quit //退出

---

五、实验结果

1.验证PC1是否可以ping通PC2

2.查看AR1 ike与ipsec的sa

ike的sa

ipsec的sa

3.查看AR2 ike与ipsec的sa

ike的sa

ipsec的sa