***的定義:***(Virtual Private Network,虛擬專用網)
廣域網存在各種安全隱患
網上傳輸的數據有被竊聽的風險
網上傳輸的數據有被篡改的危險
通信雙方有被冒充的風險
***的作用:
***建立“保護”網絡實體之間的通信
使用加密技術防止數據被竊聽
數據完整性驗證防止數據被破壞、篡改
通過認證機制確認身份,防止數據被截獲、回放
配置步驟及思路:
1.分支公司的網關路由器
路由方面的配置
R1(config)#ip routing 開啓路由功能
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.20.2 配置路由條目
配置 ISAKMP 策略
R1(config)#crypto isakmp policy 1
R1(config-isakmap)#encryption 3des
R1(config-isakmap)#hash sha
R1(config-isakmap)#authentication pre-share
R1(config-isakmap)#group 2
R1(config)#crypto isakmp key tedu address 192.168.30.2
配置 ACL
R1(config)#access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255
配置 IPSec 策略(轉換集)
R1(config)#crypto ipsec transform-set yf-set esp-des ah-sha-hmac
配置加密映射集
R1(config)#crypto map yf-map 1 ipsec-isakmp
R1(config-crypto-map)#set peer 192.168.30.2
R1(config-crypto-map)#set transform-set yf-set
R1(config-crypto-map)#match address 100
將映射集應用在接口
R1(config)#interface f0/1
R1(config-if)#crypto map yf-map
2.總公司的網關路由器
注;加密和認證算法要與分公司匹配
路由方面的配置
R2(config)#ip routing 開啓路由功能
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.20.2 配置路由條目
R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.30.1
IPSec *** 方面的配置
R2(config)#crypto isakmp policy 1
R2(config-isakmap)#encryption 3des
R2(config-isakmap)#hash sha
R2(config-isakmap)#authentication pre-share
R2(config-isakmap)#group 2
R2(config)#crypto isakmp key tedu address 192.168.20.1
配置ACL
R2(config)#access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255
配置 IPSec 策略(轉換集)
R2(config)#crypto ipsec transform-set yf-set esp-des ah-sha-hmac
配置加密映射集
R2(config)#crypto map yf-map 1 ipsec-isakmp
R2(config-crypto-map)#set peer 192.168.20.1
R2(config-crypto-map)#set transform-set yf-set
R2(config-crypto-map)#match address 100
將映射集應用在接口
R2(config)#interface f0/0
R2(config-if)#crypto map yf-map
3.R3路由器的配置
R3(config)#ip routing
R3(config)#ip route 192.168.1.0 255.255.255.0 192.168.20.1 開啓路由功能
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.20.2 配置路由條目
R3(config)#ip route 192.168.10.0 255.255.255.0 192.168.30.2 配置路由條目
4.驗證,測試
ping服務器
訪問服務器