下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
7.2IPsecVPN的配置【实验目的】通过实验,理解IPsecVPN的工作原理,掌握基于设备的配置方法。【知识点】隧道技术,IPsec的作用,IPsecVPN的工作原理,密码学原理【实验场景】两个远程公司的网络上海和北京,如R5与R4之间需要直接使用私有地址来互访,比如R5通过直接访问地址192.168.1.4来访问R4,而R2则相当于Internet路由器,R2只负责让R1与R3能够通信,R2不会配置任何路由,R2不允许拥有上海与北京公司内部的路由10.1.1.0与192.168.1.0,在配置完LAN-to-LANVPN之后,最终上海与北京两个网络之间通过VPN隧道来穿越没有路由的R2来进行通信,实现在私网与私网之间穿越公网的通信。【实验原理】构建VPN隧道,定义加密方式和秘钥,对数据加密后进行封装,以便于实现隧道的模式。【实验设备】Cisco
Packet
Tracer软件中:五台2811的路由器【实验拓扑】【实验思路】配置IKE策略定义IKEPhaseOne中的一些策略,包括加密算法(Encryption),Hash算法(HMAC),秘钥算法(Diffie-Hellman),认证方式(Authentication)等。定义认证标识添加认证信息,如密码、数字证书等。配置IPSectransform定义PhaseTwo中一些加密算法以及HMAC算法,此transformset就是定义了VPN流量中的数据包是受到怎样的保护。定义感兴趣流量定义哪些流量需要通过VPN来传输,通过IPSec来保护;匹配流量的方法定义为ACL,建议使用扩展ACL来匹配指定的流量,ACL中被permit匹配的流量表示加密,而被deny匹配的流量则表示不加密。cryptomapCryptomap配置后,是不会生效的,必须将cryptomap应用到三层接口上【实验步骤】1.配置基础网络环境配置R1:配置R1的接口地址,并写缺省路由指向Internet(路由器R2),地址12.1.1.2。配置R2:配置R2的接口地址,因为R2模拟Internet,R2只需要有公网路由12.1.1.0和23.1.1.0即可,所以R2不需要写任何路由,也不允许写任何路由。配置R3:配置R3的接口地址,并写缺省路由指向Internet(路由器R2),地址23.1.1.2。配置R4:配置R4的接口地址,并写缺省路由指向北京公司出口路由器R3。配置R5:配置R5的接口地址,并写缺省路由指向上海公司出口路由器R1。2.测试基础网络环境测试R1到R3的连通性:r1#ping23.1.1.3因为R1与R3都有默认路由指向Internet(路由器R2),而R2与R1和R3都是可达的,所以R1与R3通信正常。测试R1到R4的连通性:r1#ping192.168.1.4虽然R1有默认路由指向Internet路由器R2,但R2只有公网路由12.1.1.0和23.1.1.0,只能保证R1与R3的通信,所以R1无法访问北京公司的私有网段192.168.1.0。测试R5到R4的连通性:r5#ping192.168.1.4同上理由,R2只有公网路由12.1.1.0和23.1.1.0,只能保证R1与R3的通信,所以上海和北京公司无法通过私有地址互访。3.配置LAN-to-LANVPN在R1上配置IKE(ISAKMP)策略:r1(config)#cryptoisakmppolicy1//配置IKE策略1r1(config-isakmp)#encryption3des//加密方法为3desr1(config-isakmp)#hashsha//hash算法为shar1(config-isakmp)#authenticationpre-share//认证方式为PSKr1(config-isakmp)#group2//密钥算法为group2。r1(config-isakmp)#exit在R1上定义认证标识:r1(config)#cryptoisakmpkey0cisco123address23.1.1.3因为之前定义的认证方式为PSK,所以需要定义认证密码,这里定义与peer23.1.1.3的认证密码为cisco123,并且双方密码必须一致,否则无法建立IKESA,其中0表示密码在running-config中显示为明文。在R1上配置IPsectransform:r1(config)#cryptoipsectransform-setccieesp-3desesp-sha-hmacr1(cfg-crypto-trans)#exit说明:配置了transform-set为ccie,其中数据封装使用esp加3des加密,并且使用esp结合sha做hash计算,默认的IPsecmode为tunnel。在R1上定义感兴趣流量:r1(config)#access-list100permitip10.1.1.00.0.0.255192.168.1.00.0.0.255这里需要被IPsec保护传输的流量为上海公司至北京公司的流量,即10.1.1.0/24发往192.168.1.0/24的流量,切记不可使用any来表示地址。在R1上创建cryptomap:r1(config)#cryptomapl2l1ipsec-isakmpr1(config-crypto-map)#setpeer23.1.1.3r1(config-crypto-map)#settransform-setccier1(config-crypto-map)#matchaddress100r1(config-crypto-map)#exit在R1上配置cryptomap为l2l,序号为1,即第1组策略,其中指定加密数据发往的对端为23.1.1.3,即和23.1.1.3建立IPsec隧道,调用的IPsectransform为ccie,并且指定ACL100中的流量为被保护的流量。在R1上将cryptomap应用于接口:r1(config-if)#cryptomapl2l将cryptomap应用在去往北京公司的接口F0/0上。使用相同方式配置R3的LAN-to-LANVPN:R3与R1的IKE和IPsec策略必须保持一致。4.测试VPNr1#showcryptoisakmppolicy//在R1上查看IKE(ISAKMP)策略r1#showcryptoisakmpkey//查看PhaseOne时的认证密码r1#showcryptoisakmpsa//查看IKESA(ISAKMPSA)r1#showcryptoipsectransform-set//查看R1上的IPsecTransformr1#showcryptomap//查看R1上的cryptomap从上海公司R5向北京公司R4发送流量:r5
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 喷涂使用说明书
- 2026治安巡防面试题目及答案
- 2026创业社团面试题及答案
- 2026法律顾问面试题目及答案
- 2026关于诚信面试题模板及答案
- 2026年怎么编试题及答案高中
- 骨科理论试题及答案
- 革兰氏染色试题及答案
- 近期法规条例解读是
- 儿科用药护理课件
- TD-T 1048-2016耕作层土壤剥离利用技术规范
- 2023年湖北省襄阳市生物中考真题(解析版)
- DL-T1362-2014输变电工程项目质量管理规程
- 同济大学课件钢结构设计原理
- 食品行业的食品安全风险评估案例分析
- 沥青路面修补恢复施工方案
- 巡察组作风纪律情况评估表
- 《电能计量装置》课件
- 河北专接本化工原理汇编
- GB.T19418-2003钢的弧焊接头 缺陷质量分级指南
- GB/T 41317-2022燃气用具连接用不锈钢波纹软管
评论
0/150
提交评论