演示：基于思科IOS场地场的预共享IpsecVPN

第8章理解并实施远程接入技术任务8.7.9演示：基于思科IOS路由器场对场的IPSec-VPN的配置

演示目标：基于思科IOS路由器完成场对场的IPSec-VPN的配置。演示环境：如图8.127所示。演示背景：在如图8.127所示的演示环境中，已经明确区分出私有网络A和B，以及Internet部分，现在要求在路由器R1和R2上使用环回接口192.168.1.1和192.168.2.1来模拟两个私网的IP地址，要求私网A192.168.1.0/24与私网B192.168.2.0/24的通信经过IPSec-VPN进行加密，要求IPSec的AH使用哈希SHA；ESP使用AES完成加密；IKE的安全策略集的加密方式为AES；Hash验证为SHA；对等端的认证方式为预共享；使用1536比特素数的Diffie-Hellman组；要求IKE的生命周期为40000。根据上述安全参数的要求配置路由器R1和R2基于IOS的IPSec-VPN。图8.127场对场的IPSec-VPN的配置环境任务8.7.9演示步骤1、先在路由器R1、ISP、R2上完成VPN之前的基础配置，其中包括为各个网络设备配置接口IP地址，启动路由，确保公共网络部分的路由学习正常。路由器R1的基础配置：R1(config)#interfacee1/0R1(config-if)#ipaddress202.202.1.1255.255.255.0R1(config-if)#noshutdownR1(config)#interfaceloopback1R1(config-if)#ipaddress192.168.1.1255.255.255.0R1(config)#routerripR1(config-router)#noauto-summaryR1(config-router)#version2R1(config-router)#network202.202.1.0R1(config-router)#exit路由器ISP的基础配置：ISP(config)#interfacee1/0ISP(config-if)#ipaddress202.202.1.2255.255.255.0ISP(config-if)#noshutdownISP(config-if)#exitISP(config)#interfacee1/1ISP(config-if)#ipaddress202.202.2.1255.255.255.0ISP(config-if)#noshutdownISP(config-if)#exitISP(config)#routerripISP(config-router)#noauto-summaryISP(config-router)#version2ISP(config-router)#network202.202.1.0ISP(config-router)#network202.202.2.0ISP(config-router)#exit任务8.7.9路由器R2的基础配置：R2(config)#interfacee1/0R2(config-if)#ipaddress202.202.2.2255.255.255.0R2(config-if)#noshutdownR2(config)#interfaceloopback1R2(config-if)#ipaddress192.168.2.1255.255.255.0R2(config)#routerripR2(config-router)#noauto-summaryR2(config-router)#version2R2(config-router)#network202.202.2.0R2(config-router)#exit演示步骤2、当完成上述配置后，在正常情况下，路由器R1的公共网络接口IP202.202.1.1应该能成功地ping通路由器R2的公共网络接口IP202.202.2.2，如图8.128所示。图8.128完成基础配置后测试连通性任务8.7.93、开始配置路由器R1和R2上的IPSec-VPN，下面给出配置思路。

演示步骤定义一个IPSec的变换集。定义一个IKE的安全策略集。由于IKE的安全策略集使用了预共享密钥，所以这里需要配置预共享密钥字符串。通过ACL列表定义感兴趣的加密流量。定义一个加密图，将IPSec的变换集、IKE的安全策略集、感兴趣的加密流量、VPN的对端IP地址全部关联到加密图中。指定VPN的静态路由。将加密图应用到对应的物理接口。任务8.7.9在路由器R1上定义IPSec的变换集：R1(config)#cryptoipsectransform-setvpnah-sha-hmacesp-aes*定义IPSec的变换集，AH安全算法为SHA-HMAC；ESP使用AES完成加密在路由器R1上定义IKE的安全策略集：R1(config)#cryptoisakmppolicy1 *定义IKE安全策略集1R1(config-isakmp)#encryptionaes *IKE的加密方式为AESR1(config-isakmp)#hashsha *IKE的Hash验证为SHAR1(config-isakmp)#authenticationpre-share*IKE验证方式为预共享密钥。R1(config-isakmp)#group5 *IKE使用Diffie-Hellman组5.R1(config-isakmp)#lifetime40000 *定义IKE的生命周期R1(config-isakmp)#exit在路由器R1上定义预共享密钥字符串：R1(config)#cryptoisakmpkeyccnaaddress202.202.2.2*在R1上定义与R2（202.202.2.2）协商的预共享密钥字符串为“ccna”在路由器R1上定义感兴趣的加密流量：R1(config)#access-list101permitip192.168.1.00.0.0.255192.168.2.00.0.0.255*定义感兴趣的加密流量，加密源子网192.168.1.0到目标子网192.168.2.0的流量在路由器R1上定义加密图，将IPSec的变换集、IKE的安全策略集、感兴趣的加密流量、VPN的对端IP地址全部关联到加密图中：R1(config)#cryptomapccna_vpn1ipsec-isakmp*定义加密图ccna_vpnR1(config-crypto-map)#settransform-setvpn*在加密图中调用IPSec的变换集vpnR1(config-crypto-map)#setpeer202.202.2.2*在加密图中设置VPN的对端IP地址R1(config-crypto-map)#matchaddress101*在加密图中声明感兴趣的加密流量列表101R1(config-crypto-map)#exit任务8.7.9指定VPN的静态路由：R1(config)#iproute192.168.2.0255.255.255.0e1/0*配置VPN的静态路由，到目标192.168.2.0通过本地路由器R1的E1/0接口转发将加密图应用到对应的物理接口：R1(config)#interfacee1/0R1(config-if)#cryptomapccna_vpn*在接口上应用加密图R1(config-if)#exit关于路由器R2的IPSec-VPN的完整配置如下：R2(config)#cryptoipsectransform-setvpnah-sha-hmacesp-aesR2(config)#cryptoisakmppolicy1R2(config-isakmp)#encryptionaesR2(config-isakmp)#hashshaR2(config-isakmp)#authenticationpre-shareR2(config-isakmp)#group5R2(config-isakmp)#lifetime40000R2(config-isakmp)#exitR2(config)#cryptoisakmpkeyccnaaddress202.202.1.1R2(config)#access-list101permitip192.168.2.00.0.0.255192.168.1.00.0.0.255R2(config)#cryptomapccna_vpn1ipsec-isakmpR2(config-crypto-map)#settransform-setvpnR2(config-crypto-map)#setpeer202.202.1.1R2(config-crypto-map)#matchaddress101R2(config-crypto-map)#exitR2(config)#iproute192.168.1.0255.255.255.0e1/0R2(config)#interfacee1/0R2(config-if)#cryptomapccna_vpnR2(config-if)#exit任务8.7.9注意：路由器R2上的VPN配置，基本上与路由器R1的配置相同，所以这里不再重复描述。但是必须强调：路由器R1与R2上的IPSec的变换集和IKE的安全策略集所使用的各项安全参数必须相同；否则，VPN将无法正常工作！演示步骤4、现在来测试VPN配置完成后的连通性，并查看路由器R1或者R2使用IPSec加密或者解密的情况。使用扩展的ping命令完成连通性测试，如图8.129所示，在ping时，目标地址为192.168.2.1，源地址为192.168.1.1，并要求连续发送10个ping包，完成该命令后，显示10个ping包，有9个成功通信。图8.129使用扩展的ping命令进行连通性测试任务8.7.9在完成上述测试后，可以在路由器R1上通过执行showcryptoipsec

sa来查看IPSecSA的状态，以及路由器执行加/解密数据的情况，如图8.130所示，可以看出已经有9个数据包被加/解密。然后，可以通过执行showcryptoisakmp

sa来查看IKE的SA状态，如图8.131所示，可以看出两个VPN隧道端点的IP地址，以及隧道协商成功的状态。最后，可以通过在路由器R1和R2上执行showcryptoisakmppolicy来查看两台路由器正在使用的安全策略，如图8.132所示，两台路由器使用的IKE安全策略完全一致，当然，这也是必需的；否则，基于IPSec的VPN无法正常工作。图8.130查看IPSec的SA状态任务8.7.9图8.131查看IKE的SA状态图8.132查看VPN两端的IKE策略集任务8.7.95、现在通过捕获建立IPSec-VPN后的通信数据帧来验证发送的数据包将会被IPSec验证与加密，如图8.133所示，是成功通信的9个ping包被ESP封装的状态，因为ping是一种往返通信过程，所以9个ping包将产生18个ESP封装；拆分任