实验环境:DynamipsGUI 2.8_CN

实验拓扑:

 

实验目的: 1):通过配置ipsec ×××,让我们对ipsec ×××的工作原理有更深的认识。

          2):掌握ipsec ×××的配置方法,对它在网络上的应用有更深的了解。

实验要求:  1):知道什么是×××、ipsec和IKE

2):简述ipsec ××× 的工作过程

实验内容:  在PC1和PC3之间建立通信,让PC2与PC3不可以相互访问。

实验步骤:

 

R1:
R1(config)#int s1/0
R1(config-if)#ip add 200.1.1.1 255.255.255.0
R1(config-if)#clock rate 64000
R1(config-if)#no sh
R1(config)#int e0/1
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#no sh
R1(config)#int e0/2
R1(config-if)#ip add 192.168.2.1 255.255.255.0
R1(config-if)#no sh
R1(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.2
 
R2(ISP):
ISP(config)#int s0/0
ISP(config-if)#ip add 200.1.1.2 255.255.255.0
ISP(config-if)#no sh
ISP(config)#int s0/1
ISP(config-if)#ip add 200.1.2.1 255.255.255.0
ISP(config-if)#clock rate 64000
ISP(config-if)#no sh
 
R3:
R3(config)#int s1/0
R3(config-if)#ip add 200.1.2.2 255.255.255.0
R3(config-if)#no sh
R3(config)#int e0/0
R3(config-if)#ip add 192.168.3.1 255.255.255.0
R3(config-if)#no sh

R3(config)#ip route 0.0.0.0 0.0.0.0 200.1.2.1

二、配置IKE IPSEC ×××
R1:
1.配置 IPsec策略协商:
R1(config)#crypto isakmp enable         //启动 IKE的协议
R1(config)#crypto isakmp policy 1       //建立 IKE的协商策略,“1为优先级,值越小越优先”          
R1(config-isakmp)#encryption des       //加密算法为 des
R1(config-isakmp)#hash md5             //认证算法为 md5
R1(config-isakmp)#authentication pre-share     身份验证为“预共享密钥”
R1(config-isakmp)#lifetime 60          //每 60秒发送一次hello包,保持连通性
R1(config-isakmp)#group 1
 
2.配置 IKE的与共享密钥,与对端IP地址
R1(config)#crypto isakmp key 0 kfp address 200.1.2.2    //设置共享密钥和对端地址
 
3.配置 IPSEC 转换集(IPSEC 策略的安全提议)
R1(config)#crypto ipsec transform-set R1-tran esp-des esp-md5-hmac
// R1-tran是转换集的名字, esp-des表示用des加密算法,esp-md5-hmac
表示用 sha算法验证
R1(cfg-crypto-tran)#mode tunnel //IPSEC的工作模式是 tunnel
 
4.配置 IPSEC保护的数据流(保护对象)
(ACL)
R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
//允许 192.168.1.0网段里的主机能访问192.168.3.0网段里的主机
5.配置 IPSEC策略
R1(config)# crypto map R1-map 10 ipsec-isakmp
R1(config-crypto-map)#match address 102       //它的保护对象是 acl 102中定义的
R1(config-crypto-map)#set peer 200.1.2.2     //对等体(对端 IP地址)为200.1.2.2
R1(config-crypto-map)#set transform-set R1-tran //调用转换集 R1-tran
 
6.将策略应用到接口
1(config)#int s1/0
R1(config-if)#crypto map R1-map 
 
R3:
1.配置 IPsec策略协商:
R3(config)#crypto isakmp enable         //启动 IKE的协议
R3(config)#crypto isakmp policy 1       //建立 IKE的协商策略,“1为优先级,值越小越优先”
R3(config-isakmp)#encryption des       //加密算法为 des
R3(config-isakmp)#hash md5             //认证算法为 md5
R3(config-isakmp)#authentication pre-share     身份验证为“预共享密钥”
R3(config-isakmp)#lifetime 60          //每 60秒发送一次hello包,保持连通性
R3(config-isakmp)#group 1
 
2.配置 IKE的与共享密钥,与对端IP地址
R3(config)#crypto isakmp key 0 kfp address 200.1.1.1    //设置共享密钥和对端地址
 
3.配置 IPSEC 转换集(IPSEC 策略的安全提议)
R3(config)#crypto ipsec transform-set R3-tran esp-des esp-md5-hmac
// R3-tran是转换集的名字, esp-des表示用des加密算法,esp-md5-hmac
表示用 sha算法验证
R3(cfg-crypto-tran)#mode tunnel //IPSEC的工作模式是 tunnel
 
4.配置 IPSEC保护的数据流(保护对象)(ACL)
R3(config)#access-list 102 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
//允许 192.168.3.0网段里的主机能访问192.168.1.0网段里的主机
 
5.配置 IPSEC策略
R3(config)# crypto map R3-map 10 ipsec-isakmp      
R3(config-crypto-map)#match address 102           //它的保护对象是 acl 102中定义的R3(config-crypto-map)#set peer 200.1.1.1        //对等体(对端IP地址)为200.1.2.2
R3(config-crypto-map)#set transform-set R3-tran //调用转换集 R3-tran
 
6.将策略应用到接口
1(config)#int s1/0
R3(config-if)#crypto map R3-map
三、查看配置信息:
配置好以后,可以在特权模式下使用“ show crypto isakmp policy ”来查看IKE的策略
R1:
 
“ show crypto ipsec transform-set ”查看IPSEC策略
 
“ show crypto ipsec sa ”查看SA信息: 
 
“show crypto map ”查看加密映射:
 
同样的方法查看 R3的配置信息,这里不再演示!!
四、验证:
配置虚拟 PC的ip地址:
PC1: 192.168.1.2 192.168.1.1 255.255.255.0
//PC1的 ip地址是192.168.1.2,网关是192.168.1.1,子网掩码是255.255.255.0
    PC2: 192.168.2.2 192.168.2.1 255.255.255.0
//PC2的 ip地址是192.168.2.2,网关是192.168.2.1,子网掩码是255.255.255.0
   PC3: 192.168.3.2 192.168.3.1 255.255.255.0
//PC2的 ip地址是192.168.3.2,网关是192.168.3.1,子网掩码是255.255.255.0
PC1(192.168.1.2) 与 PC3(192.168.3.2)互ping结果如下:
说明:PC1和PC3能相互ping通!!
PC2(192.168.2.2) 与 PC3(192.168.3.2)互ping结果如下:
说明:PC2和PC3不能相互ping通!!
实验完成!!
如果客户机需要上网,还需要在R1和R3上做NAT技术,具体操作请看前面一篇文章(NAT+IPSEC)!!就不在这里过多的介绍了!
 
 
此实验是在小凡模拟器上完成,需要IOS的网友可以联系本人 Q:821972656