×××的定义:

* 广域网存在各种安全隐患

网上传输的数据有被窃听的风险
网上传输的数据有被篡改的危险
通信双方有被冒充的风险

* ×××(Virtual Private Network,虚拟专用网)
* ×××建立“保护”网络实体之间的通信

使用加密技术防止数据被窃听
数据完整性验证防止数据被破坏、篡改
通过认证机制确认身份,防止数据被截获、回放
思科 IPSec ***配置:_第1张图片
×××的类型:

* 站点到站点×××

思科 IPSec ***配置:_第2张图片
意思就是,在现实生活中,总公司和分公司之间建立连接

* 远程访问×××

思科 IPSec ***配置:_第3张图片
在平时,有很多人都是在外面奔波,为公司跑业务,就需要配置远程×××,来和公司建立会话连接

实验:

需求:

* 研发小组可以通过×××访问总公司研发服务器,但不能 访问Internet

思科 IPSec ***配置:_第4张图片
topo图:
思科 IPSec ***配置:_第5张图片

配置步骤及思路:
R0 配置:
Router>en
Router#conf t
Router(config)#no ip domain-lookup
Router(config)#hostname R0
R0(config)#interface f0/0
R0(config-if)#ip address 172.16.10.254 255.255.255.0
R0(config-if)#no shutdown
R0(config-if)#exit
R0(config)#interface f0/1
R0(config-if)#ip address 100.0.0.1 255.255.255.252
R0(config-if)#no shutdown
R0(config-if)#end
R2 配置:
Router>en
Router#conf t
Router(config)#no ip domain-lookup
Router(config)#hostname R2
R2(config)#interface f0/1
R2(config-if)#ip address 10.10.33.254 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#interface f0/0
R2(config-if)#ip address 200.0.0.1 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#end
R1 配置:
Router>en
Router#conf t
Router(config)#no ip domain-lookup
Router(config)#hostname R1
R1(config)#interface f0/1
R1(config-if)#ip address 100.0.0.2 255.255.255.252
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface f0/0
R1(config-if)#ip address 200.0.0.2 255.255.255.252
R1(config-if)#no shutdown
R1(config-if)#end
配置路由:
R0 :
R0(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2
R1 :
R1(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.1
R1(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.1
R2 :
R2(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2
R0(config)#crypto isakmp policy 1
R0(config-isakmp)#encryption 3des
R0(config-isakmp)#hash sha
R0(config-isakmp)#authentication pre-share
R0(config-isakmp)#group 2
R0(config-isakmp)#exit
R0(config)#crypto isakmp key hahui address 200.0.0.1
R0(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255
R0(config)#access-list 100 permit icmp 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255
R0(config)#crypto ipsec transform-set hui-set ah-sha-hmac esp-des
R0(config)#crypto map hui-map 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.

R0(config-crypto-map)#set transform-set hui-set
R0(config-crypto-map)#set peer 200.0.0.1
R0(config-crypto-map)#match address 100
R0(config-crypto-map)#exit
R2(config)#interface f0/1
R0(config-if)#crypto map hui-map
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

R2(config)#crypto isakmp policy 1
R2(config-isakmp)#encryption 3des
R2(config-isakmp)#hash sha
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#group 2
R2(config-isakmp)#exit
R2(config)#crypto isakmp key hahui address 100.0.0.1
R2(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255
R0(config)#access-list 100 permit icmp 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255
R2(config)#crypto ipsec transform-set hui-set ah-sha-h
R2(config)#crypto ipsec transform-set hui-set ah-sha-hmac esp-des
R2(config)#crypto map hui-map 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.

R2(config-crypto-map)#set peer 100.0.0.1
R2(config-crypto-map)#set transform-set hui-set
R2(config-crypto-map)#match address 100
R2(config-crypto-map)#exit
R2(config)#interface f0/0
R2(config-if)#crypto map hui-map
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

查看命令:
show crypto ipsec sa