R1(E1/1口) — 网络提供商(NP) — (E1/1口)R2

                    |

                (E1/1口)

                   R3

 


一、实验需求:


R1的一个出口能同时与R2和R3进行×××的site  to  stie连接。


 


二、网络环境:


R1、R2、R3的局域网段分别为:192.168.1.0/24


192.168.2.0/24


192.168.3.0/24


R1、R2、R3的出口IP分别为:10.10.1.2/30


10.10.2.2/30


10.10.3.2/30


NP的与3个路由器的对应IP为:10.10.1.1/30


10.10.2.1/30


10.10.3.1/30


 


三、详细配置:


 


NP只需在与3个路由器连接的接口上配置相应的IP地址即可。


 


R1


R1(config)# ip route  0.0.0.0  0.0.0.0  10.10.1.1


R1(config)# int  e1/1


R1(config-if)# ip  address  10.10.1.2  255.255.255.252


R1(config-if)# no  shutdown


R1(config-if)# exit


#建立IKE策略,优先级为100


R1(config)# crypto  isakmp  policy  10


#使用预共享的密码进行身份验证


R1 (isakmp-policy)# authentication  pre-share


#使用hash  md5加密方式


R1(isakmp-policy)# hash  md5


#指定密钥位数,group 2安全性更高,但更耗cpu


R1 (isakmp-policy)# group 2


R1 (isakmp-policy)# exit


设置要使用的预共享密钥和指定***另一端路由器的IP地址(×××链路两端的密码必须匹配。)


R1(config)# crypto  isakmp  key  0  R1ToR2  address  10.10.2.2


R1(config)# crypto  isakmp  key  0  R1ToR3  address  10.10.3.2


配置IPSec交换集,***这个名字可以随便取,两端的名字也可不一样,但其他参数要一致。


R1(config)# crypto ipsec  transform-set  ***  ah-md5-hmac esp-des esp-md5-hmac


#设置为隧道模式


R1 (cfg-crypto-trans)# mode  tunel


R1(cfg-crypto-trans)# exit


#创建加密图


R1(config)# crypto map ***map 10 ipsec-isakmp


#标识对方路由器IP地址


R1 (config-crypto-map)# set  peer  10.10.2.2


R1 (config-crypto-map)# set  peer  10.10.3.2


#指定加密图使用的IPSEC交换集


R1 (config-crypto-map)# set  transform-set  ***


#用ACL来定义加密的通信


R1 (config-crypto-map)# match  address  110


#ipsec安全关联存活期


R1 (config-crypto-map)# set security-association lifetime 86400


R1 (config-crypto-map)# exit


R1 (config)# ip  access-list  extend  110


R1(config-acl)# permit  ip  192.168.1.0  0.0.0.255  192.168.2.0  0.0.0.255


R1(config-acl)# petmit  ip  192.168.1.0  0.0.0.255  192.168.3.0  0.0.0.255


R1(config-acl)# exit


R1(config)# int e1/1


R1(config)# crypto map ***map


 


R2:


R2(config)# ip route  0.0.0.0  0.0.0.0  10.10.2.1


R2(config)# int  e1/1


R2(config-if)# ip  address  10.10.2.2  255.255.255.252


R2(config-if)# no  shutdown


R2(config-if)# exit


R2(config)# crypto  isakmp  policy  10


R2 (isakmp-policy)# authentication  pre-share


R2(isakmp-policy)# hash  md5


R2 (isakmp-policy)# group  2


R2 (isakmp-policy)# exit


R2(config)# crypto  isakmp  key  0  R1ToR2  address  10.10.1.2


R2(config)# crypto ipsec  transform-set  ***  ah-md5-hmac esp-des esp-md5-hmac


R2 (cfg-crypto-trans)# mode  tunel


R2(cfg-crypto-trans)# exit


R2(config)# crypto map ***map 10 ipsec-isakmp


R2 (config-crypto-map)# set  peer  10.10.1.2


R2 (config-crypto-map)# set  transform-set  ***


R2 (config-crypto-map)# match  address  110


R2(config-crypto-map)# set security-association lifetime 86400


R2 (config-crypto-map)# exit


R2 (config)# ip  access-list  extend  110


R2(config-acl)# permit  ip  192.168.2.0  0.0.0.255  192.168.1.0  0.0.0.255


R2(config-acl)# exit


R2(config)# int e1/1


R2(config)# crypto map ***map


 


R3:


R3(config)# ip route  0.0.0.0  0.0.0.0  10.10.3.1


R3(config)# int  e1/1


R3(config-if)# ip  address  10.10.3.2  255.255.255.252


R3(config-if)# no  shutdown


R3(config-if)# exit


R3(config)# crypto  isakmp  policy  10


R3 (isakmp-policy)# authentication  pre-share


R3(isakmp-policy)# hash  md5


R3 (isakmp-policy)# group  2


R3 (isakmp-policy)# exit


R3(config)# crypto  isakmp  key  0  R1ToR3  address  10.10.1.2


R3(config)# crypto ipsec  transform-set  ***  ah-md5-hmac esp-des esp-md5-hmac


R3 (cfg-crypto-trans)# mode  tunel


R3(cfg-crypto-trans)# exit


R3(config)# crypto map ***map 10 ipsec-isakmp


R3 (config-crypto-map)# set  peer  10.10.1.2


R3 (config-crypto-map)# set  transform-set  ***


R3 (config-crypto-map)# match  address  110


R3 (config-crypto-map)# set security-association lifetime 86400


R3 (config-crypto-map)# exit


R3 (config)# ip  access-list  extend  110


R3(config-acl)# permit  ip  192.168.3.0  0.0.0.255  192.168.1.0  0.0.0.255


R3(config-acl)# exit


R3(config)# int e1/1


R3(config)# crypto map ***map


 


四、配置验证


 


Ping其×××连接的各个对端网段的IP,测试其连通性,也可用下面命令查看:


#show crypto isakmp policy


命令可以查看所配置的IKE策略(通过两个路由器上IKE策略的对比进行排错)


#show  crypto  isakmp  sa


可以查看×××对等实体两端的IP地址参数,如果协商不成功,是没有这些参数出现的。


#show  crypto  ipsec    sa


查看安全联盟当前使用的设置。在ping的过程中,还能看到数据包的增加过程。


#show  crypto  isakmp  key


可以查看×××两端的共享实体的IP地址或者主机名,预共享密钥。


#show crypto ipsec security-association-lifetime


查看全局IPSec安全关联生命周期。(注意:对等实体两端是一样的)


#show crypto ipsec transform-set


可以查看IPSec的工作模式以及变换集的配置。


#show crypto map


显示所有配置在路由器上的Crypto Map,便于更详细的查看。


 


六、 实验总结:


1、 配置多条×××隧道的时候,注意在端口只能应用一个Crypto Map,如果有多条×××,应该将所有的crypto map定义相同的名称。


2、 配置Crypto Map时候所使用的密钥交换方式应该与IKE阶段所配置的密钥交换方式相同。


3、 配置交换集的时候,每种类型只能选择一种参数。


4、 定义Crypto加密访问列表时候,注意应用的先后次序,记得将特殊的放到前面,然后再将一般的放到后面。最后加上access-list access-list-number denyip any any,拒绝其它没有数据通过。


5、 检查Crypto加密访问列表出错,应该重新定义访问列表,删除或者添加某一条都不会生效的。


6、 检查错误的时候,如果内容较多,也可以使用show running将两个结果进行对比排错。


7、 在配置××× IPSec之前最后让全网都互通,可以使用ping命令,让各自路由器里都学习到其它路由器的路由条目,以免造成对实验的干扰。


8、 配置IKE协商参数应该与对应的交换集保持一致。