实验环境:DynamipsGUI_2.8_CN

实验拓扑:

 

多IPsec的配置_第1张图片

 

实验目的:1):通过配置多个ipsec ***,让我们对多个ipsec ***的工作原理有更深的认识

2):掌握多ipsec ×××的配置方法,对它在企业中的应用有更深的了解。

实验要求:1):知道什么是ike ipsec ***

            2):知道多个ipsec ***的作用

实验步骤:

一、配置路由器的IP地址:

R1的配置

R1(config)#int s1/0

R1(config-if)#ip add 200.1.1.1 255.255.255.0

R1(config-if)#clock rate 64000

R1(config-if)#no sh

R1(config)#int f0/0

R1(config-if)#ip add 10.1.1 .1 255.255.255.0

R1(config-if)#no sh

R1(config)#ip route 0.0.0 .0 0.0.0.0 200.1.1.2     //配置静态默认路由,使得内网能够连通外网

 

R2的配置

R2(config)#int s0/0

R2(config-if)#ip add 200.1.1.2 255.255.255.0

R2(config-if)#no sh

R2(config)#int s0/1

R2(config-if)#ip add 201.1.1.1 255.255.255.0

R2(config-if)#no sh

R2(config-if)#clock rate 64000

 

R3的配置

R3(config)#int s0/0

R3(config-if)#ip add 201.1.1.2 255.255.255.0

R3(config-if)#no sh

R3(config)#int s0/1

R3(config-if)#ip add 202.1.1.1 255.255.255.0

R3(config-if)#clock rate 64000

R3(config-if)#no sh

R3(config)#int s0/2

R3(config-if)#ip add 203.1.1.1 255.255.255.0

R3(config-if)#clock rate 64000

R3(config-if)#no sh

R3(config)#int s0/3

R3(config-if)#ip add 204.1.1.1 255.255.255.0

R3(config-if)#clock rate 64000

R3(config-if)#no sh

                   

R4的配置

R4(config)#int s1/0

R4(config-if)#ip add 202.1.1.2 255.255.255.0

R4(config-if)#no sh

R4(config)#int f0/0

R4(config-if)#ip add 172.16.1.1 255.255.255.0

R4(config-if)#no sh

R4(config)#ip route 0.0.0 .0 0.0.0.0 202.1.1.1       //配置静态默认路由,使得内网能够连通外网

 

R5的配置

R5(config)#int s1/0

R5(config-if)#ip add 203.1.1.2 255.255.255.0

R5(config-if)#no sh

R5(config)#int f0/0

R5(config-if)#ip add 172.17.1.1 255.255.255.0

R5(config-if)#no sh

R5(config)#ip route 0.0.0 .0 0.0.0.0 203.1.1.1      //配置静态默认路由,使得内网能够连通外网

 

R6的配置

R6(config)#int s1/0

R6(config-if)#ip add 204.1.1.2 255.255.255.0

R6(config-if)#no sh

R6(config)#int f0/0

R6(config-if)#ip add 172.18.1.1 255.255.255.0

R6(config-if)#no sh

R6(config)#ip route 0.0.0 .0 0.0.0.0 204.1.1.1      //配置静态默认路由,使得内网能够连通外网

配置好以后,可以在特权模式下使用“ show ip interface brief ”来查看路由器的接口信息,这里本人不再演示!!

二、配置动态路由协议(OSPF),在R2R3上配置

R2的配置

R2(config)#router ospf 100

R2(config-router)#net 200.1.1.0 0.0.0 .255 area 0              

R2(config-router)#net 201.1.1.0 0.0.0 .255 area 0

 

R3的配置

R3(config)#router ospf 100

R3(config-router)#net 201.1.1.0 0.0.0 .255 area 0                         

R3(config-router)#net 202.1.1.0 0.0.0 .255 area 0

R3(config-router)#net 203.1.1.0 0.0.0 .255 area 0                         

R3(config-router)#net 204.1.1.0 0.0.0 .255 area 0

配置好以后,可以在特权模式下使用“ show ip route ”来查看路由器的路由表,这里本人不再演示!!

 

三、配置IKE IPSEC ×××

R1的配置(第一个IKE IPSEC ×××)

 1.配置IPsec策略协商:

R1(config)#crypto isakmp enable        //启动IKE的协议

R1(config)#crypto isakmp policy 1      //建立IKE的协商策略,“1为优先级,值越小越优先” (1-100         

R1(config-isakmp)#encryption des      //加密算法为des

R1(config-isakmp)#hash md5            //认证算法为md5

R1(config-isakmp)#authentication pre-share    //身份验证为“预共享密钥”

R1(config-isakmp)#lifetime 60         //60秒发送一次hello包,保持连通性

R1(config-isakmp)#group 1

 

2.配置IKE的与共享密钥,与对端IP地址

R1(config)#crypto isakmp key 0 11 address 202.1.1.2   //设置共享密钥和对端地址

 

3.配置IPSEC 转换集(IPSEC 策略的安全提议)

R1(config)#crypto ipsec transform-set aa esp-des esp-md5-hmac

// aa是转换集的名字,esp-des表示用des加密算法,esp-md5-hmac表示用sha算法验证

R1(cfg-crypto-tran)#mode tunnel  //IPSEC的工作模式是tunnel

 

4.配置IPSEC保护的数据流(保护对象)(ACL)

R1(config)#access-list 102 permit i p 10.1.1 .0 0.0.0.255 172.16.1.0 0.0.0.255

 

5.配置IPSEC策略

R1(config)# crypto map aamap 10 ipsec-isakmp

//10”为map的优先级,值越小,优先级越高,(1-65535

 R1(config-crypto-map)#match address 102       //它的保护对象是acl 102中定义的

R1(config-crypto-map)#set peer 202.1.1.2     //对等体(对端IP地址)为202.1.1.2

R1(config-crypto-map)#set transform-set aa    //调用转换集aa

 

6.将策略应用到接口

1(config)#int s1/0

R1(config-if)#crypto map aamap

 

R4的配置

R4(config)#crypto isakmp enable        //启动IKE的协议

R4(config)#crypto isakmp policy 1      //建立IKE的协商策略,“1为优先级,值越小越优先”          

R4(config-isakmp)#encryption des      //加密算法为des

R4(config-isakmp)#hash md5            //认证算法为md5

R4(config-isakmp)#authentication pre-share    身份验证为“预共享密钥”

R4(config-isakmp)#lifetime 60         //60秒发送一次hello包,保持连通性

R4(config-isakmp)#group 1

 

 

2.配置IKE的与共享密钥,与对端IP地址

R4(config)#crypto isakmp key 0 11 address 200.1.1.1   //设置共享密钥和对端地址

 

3.配置IPSEC 转换集(IPSEC 策略的安全提议)

R4(config)#crypto ipsec transform-set R4 esp-des esp-md5-hmac

// R4是转换集的名字,esp-des表示用des加密算法,esp-md5-hmac表示用sha算法验证

R4(cfg-crypto-tran)#mode tunnel  //IPSEC的工作模式是tunnel

 

4.配置IPSEC保护的数据流(保护对象)(ACL)

R4(config)#access-list 102 permit ip 172.16.1.0 0.0.0 .255 10.1.1.0 0.0.0.255

 

5.配置IPSEC策略

R4(config)# crypto map R4map 10 ipsec-isakmp     

R4(config-crypto-map)#match address 102          //它的保护对象是acl 102中定义的R4(config-crypto-map)#set peer 200.1.1.1         //对等体(对端IP地址)为200.1.1.1

R4(config-crypto-map)#set transform-set R4      //调用转换集R4

 

6.将策略应用到接口

1(config)#int S1/0

R4(config-if)#crypto map R4map

 

 

R1的配置( 第二个IKE IPSEC ×××

1.配置IPsec策略协商:

R1(config)#crypto isakmp enable        //启动IKE的协议

R1(config)#crypto isakmp policy 2      //建立IKE的协商策略,“2为优先级,值越小越优先”          

R1(config-isakmp)#encryption des      //加密算法为des

R1(config-isakmp)#hash md5            //认证算法为md5

R1(config-isakmp)#authentication pre-share    //身份验证为“预共享密钥”

R1(config-isakmp)#lifetime 60         //60秒发送一次hello包,保持连通性

R1(config-isakmp)#group 1

 

2.配置IKE的与共享密钥,与对端IP地址

R1(config)#crypto isakmp key 0 22 address 203.1.1.2   //设置共享密钥和对端地址

 

3.配置IPSEC 转换集(IPSEC 策略的安全提议)

R1(config)#crypto ipsec transform-set bb esp-des esp-md5-hmac

// bb是转换集的名字,esp-des表示用des加密算法,esp-md5-hmac表示用sha算法验证

R1(cfg-crypto-tran)#mode tunnel  //IPSEC的工作模式是tunnel

 

4.配置IPSEC保护的数据流(保护对象)(ACL)

R1(config)#access-list 103 permit i p 10.1.1 .0 0.0.0.255 172.17.1.0 0.0.0.255

 

5.配置IPSEC策略

R1(config)# crypto map aamap 11 ipsec-isakmp

R1(config-crypto-map)#match address 103       //它的保护对象是acl 103中定义的

R1(config-crypto-map)#set peer 203.1.1.2    //对等体(对端IP地址)为203.1.1.2

R1(config-crypto-map)#set transform-set bb   //调用转换集bb

 

6.将策略应用到接口

1(config)#int s1/0

R1(config-if)#crypto map aamap

 

 

R5的配置

R5(config)#crypto isakmp enable        //启动IKE的协议

R5(config)#crypto isakmp policy 2      //建立IKE的协商策略,“2为优先级,值越小越优先”          

R5(config-isakmp)#encryption des      //加密算法为des

R5(config-isakmp)#hash md5            //认证算法为md5

R5(config-isakmp)#authentication pre-share    身份验证为“预共享密钥”

R5(config-isakmp)#lifetime 60         //60秒发送一次hello包,保持连通性

R5(config-isakmp)#group 1

 

 

2.配置IKE的与共享密钥,与对端IP地址

R5(config)#crypto isakmp key 0 22 address 200.1.1.1   //设置共享密钥和对端地址

 

3.配置IPSEC 转换集(IPSEC 策略的安全提议)

R5(config)#crypto ipsec transform-set R5 esp-des esp-md5-hmac

// R5是转换集的名字,esp-des表示用des加密算法,esp-md5-hmac表示用sha算法验证

R5(cfg-crypto-tran)#mode tunnel       //IPSEC的工作模式是tunnel

 

4.配置IPSEC保护的数据流(保护对象)(ACL)

R5(config)#access-list 103 permit ip 172.17.1.0 0.0.0 .255 10.1.1.0 0.0.0.255

 

5.配置IPSEC策略

R5(config)# crypto map R5map 11 ipsec-isakmp     

R5(config-crypto-map)#match address 103          //它的保护对象是acl 103中定义的R5(config-crypto-map)#set peer 200.1.1.1         //对等体(对端IP地址)为200.1.1.1

R5(config-crypto-map)#set transform-set R5      //调用转换集R5

 

6.将策略应用到接口

1(config)#int s1/0

R5(config-if)#crypto map R5map

 

.R1的配置( 第三个IKE IPSEC ×××

1.配置IPsec策略协商:

R1(config)#crypto isakmp enable        //启动IKE的协议

R1(config)#crypto isakmp policy 3     //建立IKE的协商策略,“3为优先级,值越小越优先”          

R1(config-isakmp)#encryption des      //加密算法为des

R1(config-isakmp)#hash md5            //认证算法为md5

R1(config-isakmp)#authentication pre-share    //身份验证为“预共享密钥”

R1(config-isakmp)#lifetime 60         //60秒发送一次hello包,保持连通性

R1(config-isakmp)#group 1

 

2.配置IKE的与共享密钥,与对端IP地址

R1(config)#crypto isakmp key 0 33 address 204.1.1.2  //设置共享密钥和对端地址

 

3.配置IPSEC 转换集(IPSEC 策略的安全提议)

R1(config)#crypto ipsec transform-set cc esp-des esp-md5-hmac

// cc是转换集的名字,esp-des表示用des加密算法,esp-md5-hmac表示用sha算法验证

R1(cfg-crypto-tran)#mode tunnel  //IPSEC的工作模式是tunnel

 

4.配置IPSEC保护的数据流(保护对象)(ACL)

R1(config)#access-list 104 permit i p 10.1.1 .0 0.0.0.255 172.18.1.0 0.0.0.255

 

5.配置IPSEC策略

R1(config)# crypto map aamap 12 ipsec-isakmp

R1(config-crypto-map)#match address 104       //它的保护对象是acl 104中定义的

R1(config-crypto-map)#set peer 204.1.1.2    //对等体(对端IP地址)为203.1.1.2

R1(config-crypto-map)#set transform-set cc  //调用转换集cc

 

6.将策略应用到接口

1(config)#int s1/0

R1(config-if)#crypto map aamap

 

R6的配置

R6(config)#crypto isakmp enable        //启动IKE的协议

R6(config)#crypto isakmp policy 3      //建立IKE的协商策略,“3为优先级,值越小越优先”          

R6(config-isakmp)#encryption des      //加密算法为des

R6(config-isakmp)#hash md5            //认证算法为md5

R6(config-isakmp)#authentication pre-share    身份验证为“预共享密钥”

R6(config-isakmp)#lifetime 60         //60秒发送一次hello包,保持连通性

R6(config-isakmp)#group 1

 

 

2.配置IKE的与共享密钥,与对端IP地址

R6(config)#crypto isakmp key 0 33 address 200.1.1.1   //设置共享密钥和对端地址

 

3.配置IPSEC 转换集(IPSEC 策略的安全提议)

R6(config)#crypto ipsec transform-set R6 esp-des esp-md5-hmac

// R6是转换集的名字,esp-des表示用des加密算法,esp-md5-hmac表示用sha算法验证

R6(cfg-crypto-tran)#mode tunnel  //IPSEC的工作模式是tunnel

 

4.配置IPSEC保护的数据流(保护对象)(ACL)

R6(config)#access-list 104 permit ip 172.18.1.0 0.0.0 .255 10.1.1.0 0.0.0.255

 

5.配置IPSEC策略

R6(config)# crypto map R6map 12 ipsec-isakmp     

R6(config-crypto-map)#match address 104          //它的保护对象是acl 103中定义的R6(config-crypto-map)#set peer 200.1.1.1         //对等体(对端IP地址)为200.1.1.1

R6(config-crypto-map)#set transform-set R6      //调用转换集R6

 

6.将策略应用到接口

1(config)#int s1/0

R6(config-if)#crypto map R6map

3IPSEC ***配置好以后,可以在特权模式下查看运行配置文件 “ show running-config ”来查看配置信息:本人不再演示!!

验证实验:

配置虚拟PCip地址:

PC110.1.1 .2 10.1.1.1 255.255.255.0

//PC1ip地址是 10.1.1 .2,网关是10.1.1.1,子网掩码是255.255.255.0

    PC2: 172.16.1.2 172.16.1.1 255.255.255.0

            //PC2ip地址是172.16.1.2,网关是172.16.1.1,子网掩码是255.255.255.0

    PC3: 172.17.1.2 172.17.1.1 255.255.255.0

            //PC2ip地址是172.17.1.2,网关是172.17.1.1,子网掩码是255.255.255.0

    PC4: 172.18.1.2 172.18.1.1 255.255.255.0

            //PC2ip地址是172.18.1.2,网关是172.18.1.1,子网掩码是255.255.255.0

 

PC1( 10.1.1 .2) PC2(172.16.1.2)ping结果如下:

多IPsec的配置_第2张图片 

PC1( 10.1.1 .2) PC3(172.17.1.2)ping结果如下:

 

多IPsec的配置_第3张图片

PC1( 10.1.1 .2) PC4(172.18.1.2)ping结果如下:

多IPsec的配置_第4张图片 

说明:PC1PC2之间能通过建立ipsec ***来相互访问;

      PC1PC3之间能通过建立ipsec ***来相互访问;

      PC1PC4之间能通过建立ipsec ***来相互访问;

      实现在一台路由器上建立多个ipsec ***连接多个分支机构!

实验完成!!!

 

此实验是在小凡模拟器上完成,需要IOS的网友可以联系本人 Q:821972656

如有看不清楚图片的,可以下载附件查看!!