2、IPsec ***的配置
2.1實驗任務與目的
通過本實驗可以掌握:(本實驗羣都是在實驗一的基礎之上完成的)
2.1.1理解IPsec***的概念。
2.1.2掌握IPsec***的配置。
2.1.3掌握IPsec***的調試命令和方法。
2.1.4正確理解IPsec***的應用。
2.2 封裝的報文格式
圖(一)IPsec ***的報文格式
2.3實驗拓撲
圖(二)IPsec ***的實驗拓撲
2.4內容與步驟(要有地址分配表、配置截圖及說明)
配置路由器R1:
u(注:是在實驗一的配置的基礎上)
配置IKE
R1(config)#crypto isakmp enable //激活isakmp
R1(config)#crypto isakmp policy 10 //創建一個isakmp策略,編號爲10
R1(config-isakmp)#authentication pre-share
//配置isakmp採用的身份驗證,這裏採用的是域共享密鑰
R1(config-isakmp)#encryption 3des //配置isakmp的加密算法,默認的是DES
R1(config-isakmp)#group 2 //配置isakmp採用的DH組,默認爲1
R1(config-isakmp)#hashmd 5 //配置isakmp採用的HASH算法,默認的是SHA
R1(config-isakmp)#lifetime 43200 //配置密鑰的更新週期爲半天,默認的是86400
R1(config-isakmp)#exit退出isakmp配置模式
R1(config)#crypto isakmp key 20130330 address 202.97.1.2 //配置對等體202.97.1.2的域共享密鑰爲20130330,雙方配置的密鑰需要一致
A pre-shared key foraddress mask 202.97.1.2 255.255.255.255 already exists!
配置IPsecMAP
R1(config)#crypto ipsec transform-set byx ah-md5-hmac esp-3des
//創建一個IPsec轉換集,名稱本地有效,但是雙方路由器的轉換集必須一致。
R1(config)#access-list 100 permit ip 172.16.96.0 0.0.0.255 172.16.97.0 0.0.0.255
//定義***感興趣數據流,用指明什麼樣的流量要通過***加密傳輸。
注:這裏限定的是從總部局域網到分部局域網的流量才進行加密,其他的流量不加密。
R1(config)#crypto map byxmap 20 ipsec-isakmp
//創建加密圖,名稱爲byxmap,20爲加密圖的編號。
注:名稱和編號只本地有效。
R1(config-crypto-map)#set transform-set byx //調用轉換集
R1(config-crypto-map)#set peer 202.97.1.2 //調用對等體的地址
R1(config-crypto-map)#match address 100 //指明***感興趣流量
R1(config-crypto-map)#ex //退出isakmp的配置模式
R1(config)#
應用IPsecMAP
R1#conf ter
Enter configurationcommands, one per line. End with CNTL/Z.
R1(config)#interf s0/0/0
R1(config-if)#crypto map byxmap //在接口上應用創建的加密圖
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF:ISAKMP is ON
R1(config-if)#end
R1#
%SYS-5-CONFIG_I:Configured from console by console
R1#wr
Buildingconfiguration...
[OK]
配置路由器ISP
ISP>enable
ISP#configure terminal
Enter configurationcommands, one per line. End with CNTL/Z.
ISP(config)#no ip route 172.16.96.0 255.255.255.0 Serial0/0/
ISP(config)#no ip route 172.16.97.0 255.255.255.0 Serial0/0/1
//刪除ISP上的***到分支和總部的靜態路由,走***網關
配置路由器R3:
配置IKE
R3(config)#crypto isakmp enable
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#group 2
R3(config-isakmp)#hashmd 5
R3(config-isakmp)#lifetime 43200
R3(config-isakmp)#exit
R3(config)#cryptoisakmp key 20130330 address 202.96.1.1
A pre-shared key foraddress mask 202.96.1.1 255.255.255.255 already exists!
配置IPsecMAP
R2(config)#crypto ipsec transform-set byx ah-md5-hmac esp-3des
R2(config)#access-list100 permit ip 172.16.97.0 0.0.0.255 172.16.96.0 0.0.0.255
R2(config)#crypto map byxmap 20 ipsec-isakmp
R2(config-crypto-map)#set transform-set byx
R2(config-crypto-map)#set peer 202.96.1.1
R2(config-crypto-map)#match address 100
R2(config-crypto-map)#ex
應用IPsecmap
R3#conf ter
Enter configurationcommands, one per line. End with CNTL/Z.
R3(config)#interf s0/0/1
R3(config-if)#crypto map byxmap
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF:ISAKMP is ON
R3(config-if)#end
R3#
%SYS-5-CONFIG_I:Configured from console by console
R3#wr
Building configuration...
[OK]
2.5實驗調試及問題處理
(1)sho ip route
在路由器R1、ISP、R2上查看路由表。
圖(三)R1上的路由條目
圖(四)ISP上的路由條目
圖(五)R2上的路由條目
(2)show crypto isakmp policy
該命令顯示isakmp的策略信息。如圖(六)、圖(七)
圖(六)R1上isakmp策略信息
圖(七)R2上isakmp策略信息
(3)show crypto map
該命令顯示加密圖的信息。如圖(八)、圖(九)。
圖(八)顯示R1上加密圖信息
圖(九)顯示R2上加密圖信息
(4)ping
u注:R2上命令以及調試解釋均和R1上的一致,這裏就不一一介紹。
以上僅是個人學習筆記總結報告,如有不正確或不合理的,煩擾大家多指正!