实验环境:DynamipsGUI 2.8_CN
实验拓扑:
实验目的: 1):通过配置ipsec ×××,让我们对ipsec ×××的工作原理有更深的认识。
2):掌握ipsec ×××的配置方法,对它在网络上的应用有更深的了解。
实验要求: 1):知道什么是×××、ipsec和IKE
2):简述ipsec ××× 的工作过程
实验内容: 在PC1和PC3之间建立通信,让PC2与PC3不可以相互访问。
实验步骤:
R1:
R1(config)#int s1/0
R1(config-if)#ip add 200.1.1.1 255.255.255.0
R1(config-if)#clock rate 64000
R1(config-if)#no sh
R1(config)#int e0/1
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#no sh
R1(config)#int e0/2
R1(config-if)#ip add 192.168.2.1 255.255.255.0
R1(config-if)#no sh
R1(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.2
R2(ISP):
ISP(config)#int s0/0
ISP(config-if)#ip add 200.1.1.2 255.255.255.0
ISP(config-if)#no sh
ISP(config)#int s0/1
ISP(config-if)#ip add 200.1.2.1 255.255.255.0
ISP(config-if)#clock rate 64000
ISP(config-if)#no sh
R3:
R3(config)#int s1/0
R3(config-if)#ip add 200.1.2.2 255.255.255.0
R3(config-if)#no sh
R3(config)#int e0/0
R3(config-if)#ip add 192.168.3.1 255.255.255.0
R3(config-if)#no sh
R3(config)#ip route 0.0.0.0 0.0.0.0 200.1.2.1
二、配置IKE IPSEC ×××
R1:
1.配置
IPsec策略协商:
R1(config)#crypto isakmp enable
//启动
IKE的协议
R1(config)#crypto isakmp policy 1
//建立
IKE的协商策略,“1为优先级,值越小越优先”
R1(config-isakmp)#encryption des
//加密算法为
des
R1(config-isakmp)#hash md5
//认证算法为
md5
R1(config-isakmp)#authentication pre-share
身份验证为“预共享密钥”
R1(config-isakmp)#lifetime 60
//每
60秒发送一次hello包,保持连通性
R1(config-isakmp)#group 1
2.配置
IKE的与共享密钥,与对端IP地址
R1(config)#crypto isakmp key 0 kfp address 200.1.2.2
//设置共享密钥和对端地址
3.配置
IPSEC 转换集(IPSEC 策略的安全提议)
R1(config)#crypto ipsec transform-set R1-tran esp-des esp-md5-hmac
// R1-tran是转换集的名字,
esp-des表示用des加密算法,esp-md5-hmac
表示用
sha算法验证
R1(cfg-crypto-tran)#mode tunnel //IPSEC的工作模式是
tunnel
4.配置
IPSEC保护的数据流(保护对象)(ACL)
R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
//允许
192.168.1.0网段里的主机能访问192.168.3.0网段里的主机
5.配置
IPSEC策略
R1(config)# crypto map R1-map 10 ipsec-isakmp
R1(config-crypto-map)#match address 102
//它的保护对象是
acl 102中定义的
R1(config-crypto-map)#set peer 200.1.2.2
//对等体(对端
IP地址)为200.1.2.2
R1(config-crypto-map)#set transform-set R1-tran //调用转换集
R1-tran
6.将策略应用到接口
1(config)#int s1/0
R1(config-if)#crypto map R1-map
R3:
1.配置
IPsec策略协商:
R3(config)#crypto isakmp enable
//启动
IKE的协议
R3(config)#crypto isakmp policy 1
//建立
IKE的协商策略,“1为优先级,值越小越优先”
R3(config-isakmp)#encryption des
//加密算法为
des
R3(config-isakmp)#hash md5
//认证算法为
md5
R3(config-isakmp)#authentication pre-share
身份验证为“预共享密钥”
R3(config-isakmp)#lifetime 60
//每
60秒发送一次hello包,保持连通性
R3(config-isakmp)#group 1
2.配置
IKE的与共享密钥,与对端IP地址
R3(config)#crypto isakmp key 0 kfp address 200.1.1.1
//设置共享密钥和对端地址
3.配置
IPSEC 转换集(IPSEC 策略的安全提议)
R3(config)#crypto ipsec transform-set R3-tran esp-des esp-md5-hmac
// R3-tran是转换集的名字,
esp-des表示用des加密算法,esp-md5-hmac
表示用
sha算法验证
R3(cfg-crypto-tran)#mode tunnel //IPSEC的工作模式是
tunnel
4.配置
IPSEC保护的数据流(保护对象)(ACL)
R3(config)#access-list 102 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
//允许
192.168.3.0网段里的主机能访问192.168.1.0网段里的主机
5.配置
IPSEC策略
R3(config)# crypto map R3-map 10 ipsec-isakmp
R3(config-crypto-map)#match address 102
//它的保护对象是
acl 102中定义的R3(config-crypto-map)#set peer 200.1.1.1 //对等体(对端IP地址)为200.1.2.2
R3(config-crypto-map)#set transform-set R3-tran //调用转换集
R3-tran
6.将策略应用到接口
1(config)#int s1/0
R3(config-if)#crypto map R3-map
三、查看配置信息:
配置好以后,可以在特权模式下使用“
show crypto isakmp policy ”来查看IKE的策略
R1:
“
show crypto ipsec transform-set ”查看IPSEC策略
“
show crypto ipsec sa ”查看SA信息:
“show crypto map ”查看加密映射:
同样的方法查看
R3的配置信息,这里不再演示!!
四、验证:
配置虚拟
PC的ip地址:
PC1:
192.168.1.2 192.168.1.1 255.255.255.0
//PC1的
ip地址是192.168.1.2,网关是192.168.1.1,子网掩码是255.255.255.0
PC2: 192.168.2.2 192.168.2.1 255.255.255.0
//PC2的
ip地址是192.168.2.2,网关是192.168.2.1,子网掩码是255.255.255.0
PC3: 192.168.3.2 192.168.3.1 255.255.255.0
//PC2的
ip地址是192.168.3.2,网关是192.168.3.1,子网掩码是255.255.255.0
PC1(192.168.1.2) 与
PC3(192.168.3.2)互ping结果如下:
说明:PC1和PC3能相互ping通!!
PC2(192.168.2.2) 与
PC3(192.168.3.2)互ping结果如下:
说明:PC2和PC3不能相互ping通!!
实验完成!!
如果客户机需要上网,还需要在R1和R3上做NAT技术,具体操作请看前面一篇文章(NAT+IPSEC)!!就不在这里过多的介绍了!
此实验是在小凡模拟器上完成,需要IOS的网友可以联系本人 Q:821972656