7.2 实验7-2 配置基于IPsec的虚拟专用网VPN

7.2实验7-2配置基于IPSec的虚拟专用网VPN实验目的掌握在路由器上配置IPSec并实现虚拟专用网VPN的方法。观察普通IP数据报经IPSec处理后成为IP安全数据报并在VPN中传送的过程。实验步骤1.构建网络拓扑2.查看并标注路由器相关接口名称（接口号）3.标注IP地址、子网掩码以及默认网关的IP地址4.配置IP地址、子网掩码以及默认网关的IP地址5.给路由器添加静态路由条目6.各网段连通性测试7.对路由器进行IPSec相关配置8.测试基于IPSec的VPN是否建立成功9.选择要监视的网络协议10.观察普通IP数据报经IPSec处理后成为IP安全数据报并在VPN中传送的过程实验步骤1.构建网络拓扑PC-PTPC0PC-PTPC12811Router12811Router02811Router2安装串行接口模块型号为NM-4A/S安装串行接口模块型号为NM-4A/S安装串行接口模块型号为NM-4A/S实验步骤1.构建网络拓扑PC-PTPC0PC-PTPC12811Router12811Router02811Router2安装串行接口模块型号为NM-4A/S安装串行接口模块型号为NM-4A/S安装串行接口模块型号为NM-4A/S实验步骤1.构建网络拓扑PC-PTPC0PC-PTPC12811Router12811Router02811Router2❸打开电源❷拖入❶关闭电源安装串行接口模块型号为NM-4A/S安装串行接口模块型号为NM-4A/S实验步骤1.构建网络拓扑PC-PTPC0PC-PTPC12811Router12811Router02811Router2实验步骤1.构建网络拓扑PC-PTPC0PC-PTPC12811Router12811Router02811Router2❶选择“连接”❷选择“串行线”❸连接各自的串行接口实验步骤1.构建网络拓扑PC-PTPC0PC-PTPC12811Router12811Router02811Router2实验步骤1.构建网络拓扑❶选择“连接”❷选择“自动选择连接类型”实验步骤1.构建网络拓扑PC-PTPC0PC-PTPC12811Router12811Router02811Router22.查看并标注路由器相关接口名称（接口号）实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router22.查看并标注路由器相关接口名称（接口号）实验步骤❶选择该菜单项❷选择该选项卡❸选中该选项2.查看并标注路由器相关接口名称（接口号）实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0Fa0/0Fa0/0Fa0PacketTracer软件显示接口名称、网络设备型号和名称的功能并不完美，有时会遮挡传输媒体、状态指示灯、甚至是网络设备自身，并且会显示网络中所有网络设备相关接口的接口名称，这使得网络拓扑中的信息看起来比较凌乱。建议同学们首先让PacketTracer软件显示各网络设备的相关接口名称，然后将需要显示的接口名称记录下来，并作为注释信息标注在相关接口旁边，最后让PacketTracer软件不显示各网络设备的相关接口名称即可。2.查看并标注路由器相关接口名称（接口号）实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0使用“放置注释”工具，在各路由器各相关接口旁标注接口名称3.标注IP地址、子网掩码以及默认网关的IP地址实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0192.168.0.1/24192.168.1.1/24192.1.1.2/30192.2.2.2/30192.1.1.1/30192.2.2.1/30192.168.0.254/24192.168.1.254/24192.168.0.254192.168.1.2544.配置IP地址、子网掩码以及默认网关的IP地址实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0192.168.0.1/24192.168.1.1/24192.1.1.2/30192.2.2.2/30192.1.1.1/30192.2.2.1/30192.168.0.254/24192.168.1.254/24192.168.0.254192.168.1.2544.配置IP地址、子网掩码以及默认网关的IP地址实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0192.168.0.1/24192.168.1.1/24192.1.1.2/30192.2.2.2/30192.1.1.1/30192.2.2.1/30192.168.0.254/24192.168.1.254/24192.168.0.254192.168.1.254输入IP地址、子网掩码、默认网关的IP地址不要忘记给计算机PC1配置IP地址、子网掩码以及默认网关的IP地址。4.配置IP地址、子网掩码以及默认网关的IP地址实验步骤//从用户执行模式进入特权执行模式//从特权执行模式进入全局配置模式//从全局配置模式进入接口Fa0/0的配置模式//给接口配置IP地址和子网掩码//开启接口//给接口Se1/0配置IP地址和子网掩码，并开启接口//退出到全局配置模式不要忘记给Router1和Router2的相关接口配置相应的IP地址和子网掩码，并开启接口。4.配置IP地址、子网掩码以及默认网关的IP地址实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0192.168.0.1/24192.168.1.1/24192.1.1.2/30192.2.2.2/30192.1.1.1/30192.2.2.1/30192.168.0.254/24192.168.1.254/24192.168.0.254192.168.1.2545.给路由器添加静态路由条目实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0192.168.0.1/24192.168.1.1/24192.1.1.2/30192.2.2.2/30192.1.1.1/30192.2.2.1/30192.168.0.254/24192.168.1.254/24192.168.0.254192.168.1.2545.给路由器添加静态路由条目实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0192.168.0.1/24192.168.1.1/24192.1.1.2/30192.2.2.2/30192.1.1.1/30192.2.2.1/30192.168.0.254/24192.168.1.254/24192.168.0.254192.168.1.254公司部门A私有网络公司部门B私有网络因特网公有网络Router(config)#iproute0.0.0.00.0.0.0192.1.1.25.给路由器添加静态路由条目实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0192.168.0.1/24192.168.1.1/24192.1.1.2/30192.2.2.2/30192.1.1.1/30192.2.2.1/30192.168.0.254/24192.168.1.254/24192.168.0.254192.168.1.254公司部门A私有网络公司部门B私有网络因特网公有网络Router(config)#iproute0.0.0.00.0.0.0192.2.2.26.各网段连通性测试实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0192.168.0.1/24192.168.1.1/24192.1.1.2/30192.2.2.2/30192.1.1.1/30192.2.2.1/30192.168.0.254/24192.168.1.254/24192.168.0.254192.168.1.254公司部门A私有网络公司部门B私有网络因特网公有网络6.各网段连通性测试实验步骤切换到“实时”工作模式6.各网段连通性测试实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0192.168.0.1/24192.168.1.1/24192.1.1.2/30192.2.2.2/30192.1.1.1/30192.2.2.1/30192.168.0.254/24192.168.1.254/24192.168.0.254192.168.1.254公司部门A私有网络公司部门B私有网络因特网公有网络在PC0的命令行使用“ping”命令，测试PC0与Router0的接口Se1/0之间的连通性。6.各网段连通性测试实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0192.168.0.1/24192.168.1.1/24192.1.1.2/30192.2.2.2/30192.1.1.1/30192.2.2.1/30192.168.0.254/24192.168.1.254/24192.168.0.254192.168.1.254公司部门A私有网络公司部门B私有网络因特网公有网络在PC1的命令行使用“ping”命令，测试PC1与Router2的接口Se1/0之间的连通性。6.各网段连通性测试实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0192.168.0.1/24192.168.1.1/24192.1.1.2/30192.2.2.2/30192.1.1.1/30192.2.2.1/30192.168.0.254/24192.168.1.254/24192.168.0.254192.168.1.254公司部门A私有网络公司部门B私有网络因特网公有网络在Router0的命令行使用“ping”命令，测试Router0与Router1之间的连通性。6.各网段连通性测试实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0192.168.0.1/24192.168.1.1/24192.1.1.2/30192.2.2.2/30192.1.1.1/30192.2.2.1/30192.168.0.254/24192.168.1.254/24192.168.0.254192.168.1.254公司部门A私有网络公司部门B私有网络因特网公有网络在Router1的命令行使用“ping”命令，测试Router1与Router2之间的连通性。6.各网段连通性测试实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0192.168.0.1/24192.168.1.1/24192.1.1.2/30192.2.2.2/30192.1.1.1/30192.2.2.1/30192.168.0.254/24192.168.1.254/24192.168.0.254192.168.1.254公司部门A私有网络公司部门B私有网络因特网公有网络//测试PC0与Router0的接口Se1/0之间的连通性6.各网段连通性测试实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0192.168.0.1/24192.168.1.1/24192.1.1.2/30192.2.2.2/30192.1.1.1/30192.2.2.1/30192.168.0.254/24192.168.1.254/24192.168.0.254192.168.1.254公司部门A私有网络公司部门B私有网络因特网公有网络//测试Router0与Router1之间的连通性6.各网段连通性测试实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0192.168.0.1/24192.168.1.1/24192.1.1.2/30192.2.2.2/30192.1.1.1/30192.2.2.1/30192.168.0.254/24192.168.1.254/24192.168.0.254192.168.1.254公司部门A私有网络公司部门B私有网络因特网公有网络

PC0与PC1之间无法通信。这是因为在Router1中并没有配置到达部门A与部门B的私有网络的路由条目，这与实际应用情况是一致的。在实际应用中，因特网中的路由器一般都由运营商配置，这些路由器对目的地址为私有地址的IP数据报一律不转发。换句话说，目的地址为私有地址的IP数据报不能经过因特网的传输。实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0192.168.0.1/24192.168.1.1/24192.1.1.2/30192.2.2.2/30192.1.1.1/30192.2.2.1/30192.168.0.254/24192.168.1.254/24192.168.0.254192.168.1.254公司部门A私有网络公司部门B私有网络因特网公有网络基于IPSec的虚拟专用网VPN7.对路由器进行IPSec相关配置实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0192.168.0.1/24192.168.1.1/24192.1.1.2/30192.2.2.2/30192.1.1.1/30192.2.2.1/30192.168.0.254/24192.168.1.254/24192.168.0.254192.168.1.254公司部门A私有网络公司部门B私有网络因特网公有网络基于IPSec的虚拟专用网VPN实验步骤——Router0上的IPSec相关配置Router(config)#cryptoisakmpenableRouter(config)#cryptoisakmppolicy1Router(config-isakmp)#encryption3desRouter(config-isakmp)#hashmd5Router(config-isakmp)#authenticationpre-shareRouter(config-isakmp)#exitRouter(config)#cryptoisakmpkey123456address192.2.2.1Router(config)#cryptoipsectransform-setmytsah-md5-hmacesp-3des//使能ISAKMP//创建ISAKMP策略//设置ISAKMP采用的加密方式为3DES//设置ISAKMP采用的散列算法为MD5//设置ISAKMP采用的认证方式为预共享秘钥//退出到全局配置模式//设置ISAKMP交换的密钥和对方的IP地址//创建IPSec转换集，myts是转换集的名称（可//自行定义），对方转换集的名称可以不同，//但其他参数要一致。本命令中创建的myts转//换集为AH-HMAC-MD5转换和使用3DES的ESP//转换。7.对路由器进行IPSec相关配置实验步骤——Router0上的IPSec相关配置Router(config)#access-list101permitip192.168.0.00.0.0.255192.168.1.00.0.0.255Router(config)#cryptomapmymap10ipsec-isakmp//创建扩展访问控制列表，编号为101，//允许私有网络192.168.0.0到私有网络//192.168.1.0的流量。0.0.0.255是相应的//通配符掩码，可将其看作是子网掩码//的反掩码。//创建加密映射表并进行配置，mymap//是加密映射表的名称（可自行设置），//10为优先级（取值范围1~65535），//如果有多个表，数字越小的越优先工//作。7.对路由器进行IPSec相关配置实验步骤——Router0上的IPSec相关配置Router(config-crypto-map)#setpeer192.2.2.1Router(config-crypto-map)#settransform-setmytsRouter(config-crypto-map)#matchaddress101Router(config-crypto-map)#interfaceSerial1/0Router(config-if)#cryptomapmymap//指定对方路由器的IP地址//指定所使用的IPSec转换集为之前创建的myts//指定加密通信的访问控制列表为之前创建的//编号为101的扩展访问控制列表//进入接口Serial1/0的配置模式//将加密映射表应用到该接口请同学们参照在Router0上配置IPSec的相关命令，在Router2上进行相应配置。7.对路由器进行IPSec相关配置8.测试基于IPSec的VPN是否建立成功实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0192.168.0.1/24192.168.1.1/24192.1.1.2/30192.2.2.2/30192.1.1.1/30192.2.2.1/30192.168.0.254/24192.168.1.254/24192.168.0.254192.168.1.254公司部门A私有网络公司部门B私有网络因特网公有网络基于IPSec的虚拟专用网VPN请确保在“实时”工作模式下，在PC0的命令行使用“ping”命令，测试PC0与PC1之间的连通性。如果之前各项配置工作都正确完成，则PC0与PC1可以正常通信，这表明路由器Router0与Router2之间基于IPSec的VPN建立成功。9.选择要监视的网络协议实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0192.168.0.1/24192.168.1.1/24192.1.1.2/30192.2.2.2/30192.1.1.1/30192.2.2.1/30192.168.0.254/24192.168.1.254/24192.168.0.254192.168.1.254公司部门A私有网络公司部门B私有网络因特网公有网络基于IPSec的虚拟专用网VPN9.选择要监视的网络协议实验步骤❶切换到“模拟”工作模式❷单击该按钮，清空“事件列表”❸单击该按钮，打开“协议选择”对话框❹选择“IPv4”选项卡❺选择监视ICMP协议的相关事件9.选择要监视的网络协议实验步骤❶切换到“模拟”工作模式❷单击该按钮，清空“事件列表”❸单击该按钮，打开“协议选择”对话框❹选择“IPv4”选项卡❺选择监视ICMP协议的相关事件❻选择“Misc”选项卡❼选择监视IPSec协议族的相关事件10.观察IP数据报经过基于IPSec的VPN的传输过程实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0192.168.0.1/24192.168.1.1/24192.1.1.2/30192.2.2.2/30192.1.1.1/30192.2.2.1/30192.168.0.254/24192.168.1.254/24192.168.0.254192.168.1.254公司部门A私有网络公司部门B私有网络因特网公有网络基于IPSec的虚拟专用网VPN10.观察IP数据报经过基于IPSec的VPN的传输过程实验步骤❶切换到“模拟”工作模式❷使用“添加简单的PDU”工具，让PC0给PC1发送单播IP数据报。❸单击该按钮，进行单步模拟。10.观察IP数据报经过基于IPSec的VPN的传输过程实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0192.168.0.1/24192.168.1.1/24192.1.1.2/30192.2.2.2/30192.1.1.1/30192.2.2.1/30192.168.0.254/24192.168.1.254/24192.168.0.254192.168.1.254公司部门A私有网络公司部门B私有网络因特网公有网络基于IPSec的虚拟专用网VPNIP数据报实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0192.168.0.1/24192.168.1.1/24192.1.1.2/30192.2.2.2/30192.1.1.1/30192.2.2.1/30192.168.0.254/24192.168.1.254/24192.168.0.254192.168.1.254公司部门A私有网络公司部门B私有网络因特网公有网络基于IPSec的虚拟专用网VPNIP数据报10.观察IP数据报经过基于IPSec的VPN的传输过程实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0192.168.0.1/24192.168.1.1/24192.1.1.2/30192.2.2.2/30192.1.1.1/30192.2.2.1/30192.168.0.254/24192.168.1.254/24192.168.0.254192.168.1.254公司部门A私有网络公司部门B私有网络因特网公有网络基于IPSec的虚拟专用网VPNIP数据报10.观察IP数据报经过基于IPSec的VPN的传输过程实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0192.168.0.1/24192.168.1.1/24192.1.1.2/30192.2.2.2/30192.1.1.1/30192.2.2.1/30192.168.0.254/24192.168.1.254/24192.168.0.254192.168.1.254公司部门A私有网络公司部门B私有网络因特网公有网络基于IPSec的虚拟专用网VPNIP安全数据报10.观察IP数据报经过基于IPSec的VPN的传输过程实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0192.168.0.1/24192.168.1.1/24192.1.1.2/30192.2.2.2/30192.1.1.1/30192.2.2.1/30192.168.0.254/24192.168.1.254/24192.168.0.254192.168.1.254公司部门A私有网络公司部门B私有网络因特网公有网络基于IPSec的虚拟专用网VPNIP安全数据报10.观察IP数据报经过基于IPSec的VPN的传输过程实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0192.168.0.1/24192.168.1.1/24192.1.1.2/30192.2.2.2/30192.1.1.1/30192.2.2.1/30192.168.0.254/24192.168.1.254/24192.168.0.254192.168.1.254公司部门A私有网络公司部门B私有网络因特网公有网络基于IPSec的虚拟专用网VPNIP安全数据报10.观察IP数据报经过基于IPSec的VPN的传输过程实验步骤PC-PTPC0PC-PTPC12811Router12811Router02811Router2Se1/0Se1/1Se1/0Se1/0Fa0/0Fa0/0192.168.0.1/24192.168.1.1/24192.1.1.2/30192.2.2.2/30192.1.1.1/30192.2.2