IPsec ***實驗

PacketTracer這款模擬器，雖然比不上工大瑞普和小凡等模擬器，但作爲初學者的入門，模擬器是一個不錯的模擬器。其優點在於較真實的事物效果功能（能看交換機路由器的形狀，能換網絡模塊等），能加深初學者網絡拓撲圖的學習。在PacketTracer 5.2之前的PacketTracer系列模擬器都不能做***實驗。現在PacketTracer 5.2可以做***，但功能有限，只能做一部分***實驗，傳輸模式的IPSEc ***和easy ***。（若想玩更深的***，還是會玩工大瑞普和小凡模擬器）。

現在就開始PacketTracer　5.2的IPsec ***實驗
網絡拓撲大概描述一下：

Router 1 模擬成Internet網（其實，就是沒有私有IP地址路由的路由器，在說通俗點，現在***技術常用來解決總部與分部跨越Internet網解決內部私有地址的連通性）
Router 3 爲總部，Router 4 爲分部。
IP規劃：
Router 1 FastEthernet0/0   200.1.1.1    FastEthernet0/1  100.1.1.1
Router 3  FastEthernet0/0  192.168.1.254  FastEthernet0/1 100.1.1.2
Router 4 FastEthernet0/0   200.1.1.2       FastEthernet0/1   192.168.2.254
PC1 ：192.168.1.1/24
PC2:    192.168.2.1/24
實驗要求讓總部和分佈的私有地址能通信！(大家可以按我的配置做一遍，紅色爲***配置關鍵代碼，在沒配置***時，PC1 是不能與ＰＣ２　相互Ping通）

配置如下：
Router1 的配置（Internet）：
interface FastEthernet0/0
ip address 200.1.1.1 255.255.255.0
no shutdown

interface FastEthernet0/1
ip address 100.1.1.1 255.255.255.0
no shutdown

Router 3的配置：

crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share

crypto isakmp key tom address 200.1.1.2

crypto ipsec transform-set tim esp-3des esp-md5-hmac

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255


crypto map tom 10 ipsec-isakmp
set peer 200.1.1.2
set transform-set tim
match address 101
interface FastEthernet0/0
ip address 192.168.1.254 255.255.255.0
no shutdown

interface FastEthernet0/1
ip address 100.1.1.2 255.255.255.0
no shutdown
crypto map tom

ip route 0.0.0.0 0.0.0.0 100.1.1.1

Router 4的配置：
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share

crypto isakmp key tom address 100.1.1.2

crypto ipsec transform-set tim esp-3des esp-md5-hmac
!
crypto map tom 10 ipsec-isakmp
set peer 100.1.1.2
set transform-set tim
match address 101

access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
interface FastEthernet0/0
ip address 200.1.1.2 255.255.255.0
no shutdown
crypto map tom

interface FastEthernet0/1
ip address 192.168.2.254 255.255.255.0
no shutdown

ip route 0.0.0.0 0.0.0.0 200.1.1.1

最終，PC1和ＰＣ２能相互Ping通。（在Ping的過程中，會丟掉幾個包，因爲在建立IPSec　***的協商）。用show crypto isakmp sa 和show crypto ipsec sa能看到IPSec　***協商好的內容狀態。