實驗編址
| 設備 | 端口 | ip地址 | 子網掩碼 |
|---|---|---|---|
| pc1 | # | 172.16.20.1 | 255.255.255.0 |
| pc2 | # | 172.16.10.1 | 255.255.255.0 |
| 路由器r1 | f0/0 | 172.16.20.254 | 255.255.255.0 |
| 路由器r1 | f0/1 | 172.16.10.254 | 255.255.255.0 |
| 路由器r1 | eth1/0 | 110.0.0.1 | 255.255.255.252 |
| 路由器r2 | f0/0 | 110.0.0.2 | 255.255.255.252 |
| 路由器r2 | f0/1 | 100.0.0.2 | 255.255.255.252 |
| 路由器r3 | f0/0 | 100.0.0.1 | 255.255.255.252 |
| 路由器r3 | f0/1 | 200.0.0.1 | 255.255.255.252 |
| 路由器r4 | f0/0 | 200.0.0.2 | 255.255.255.252 |
| 路由器r4 | f0/1 | 10.10.33.254 | 255.255.255.0 |
| 服務器 | # | 10.10.33.1 | 255.255.255.0 |
路由器R1的配置:
1.配置ISAKMP策略
R1(config)#crypto isakmp policy 1 // 配置密碼ISAKMP策略1
R1(config-isakmap)#encryption 3des //使用加密方式爲3DES加密(定義保密級別)
R1(config-isakmap)#hash sha //指定加密算法爲sha(MD5執行速度較快,但其安全性相對SHA稍差一點 )
R1(config-isakmap)#authentication pre-share //採用共享祕鑰的方式
R1(config-isakmap)#group 2 //指定DH算法的密鑰長度爲組2(DH組1的有效 密鑰長度爲768,DH組2的有效密鑰長度爲1 024, DH組 5 的有效密鑰長度爲1 536 密)
R1(config)#crypto isakmp key tedu address 200.0.0.2 //配置預共享密鑰的密鑰爲:tedu,遠程對等體的IP地址爲200.0.0.2((需要加密的外網地址)
3.配置動態路由
路由器R1的配置:
Router(config)#router ospf 1
Router(config-router)#network 172.16.20.0 0.0.0.255 area 0
Router(config-router)#network 172.16.10.0 0.0.0.255 area 0
Router(config-router)#network 110.0.0.0 0.0.0.255 area 0
4.配置ACL
R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255
R1(config)#access-list 101 permit ip 172.16.20.0 0.0.0.255 10.10.33.0 0.0.0.255
配 //訪問列表100允許IP172.16.10.0 172.16.20.0 0.0.0 網段訪問10.10.33.0網段,通配符都爲0.0.0.255(匹配前24位)
5.配置IPSec策略(轉換集)
R1(config)#crypto ipsec transform-set yf-set ah-sha-hmac esp-des // transform-set: 轉換集// cisco:轉換集的名稱// esp-des:用ESP做封裝,用des做加密// esp-sha-hmac:用ESP封裝,用sha做哈希
6.配置加密映射集
R1(config)#crypto map yf-map 1 ipsec-isakmp //對第二階段的策略做彙總,定義了一個加密圖,配置個map id,根據MAP ID來執行任務將多個策略彙總到一個MAP中,然後在端口中調用
R1(config-crypto-map)#set peer 200.0.0.2 //配置對等體的要加密的地址
R1(config-crypto-map)#set transform-set yf-set //調用yf-set
R1(config-crypto-map)#match address 100 //調用ACL 100
R1(config-crypto-map)#match address 101 //調用ACL 101
7.將映射集應用在接口
R1(config)#interface ethe1/0
R1(config-if)#crypto map yf-map // 將端口映射在外網端口(在外網端口調用)
路由器R2配置
配置動態路由
Router(config)#router ospf 1
Router(config-router)#network 110.0.0.0 0.0.0.255 area 0
Router(config-router)#network 110.0.0.0 0.0.0.255 area 0
路由器R3配置
配置動態路由
Router(config)#router ospf 1
Router(config-router)#network 100.0.0.0 0.0.0.255 area 0
Router(config-router)#network 200.0.0.0 0.0.0.255 area 0
路由器R4配置
.IPSec ***的配置
R3(config)#crypto isakmp policy 1
R3(config-isakmap)#encryption 3des
R3(config-isakmap)#hash sha
R3(config-isakmap)#authentication pre-share
R3(config-isakmap)#group 2
R3(config)#crypto isakmp key tedu address 110.0.0.1
R3(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255
R3(config)#access-list 101 permit ip 10.10.33.0 0.0.0.255 172.16.20.0 0.0.0.255
R3(config)#crypto ipsec transform-set yf-set esp-des ah-sha-hmac
R3(config)#crypto map yf-map 1 ipsec-isakmp
R3(config-crypto-map)#set peer 110.0.0.1
R3(config-crypto-map)#set transform-set yf-set
R3(config-crypto-map)#match address 100
R3(config-crypto-map)#match address 101
R2(config)#interface f0/0
R3(config)#interface f0/0 R2(config-if)#crypto map yf-map
配置動態路由
Router(config)#router ospf 1
Router(config-router)#network 10.10.33.0 0.0.0.255 area 0
Router(config-router)#network 200.0.0.0 0.0.0.255 area 0
驗證
pc1 ping 服務器
pc2 ping 服務器
