思科路由器建立多条IPSEC ×××连接

一、参数约定

  境:dynamipsGUI模拟器,IOS 3745

网络情况:见下图

IP地址:

设备名

 

IP地址

R1

F0/0

172.16.1.1

F1/1

202.96.134.1

R2

F1/1

202.96.134.2

F1/3

61.96.134.1

R3

F1/3

61.96.134.2

F1/4

211.96.134.1

 

F1/5

119.96.134.1

R4

F0/0

192.168.1.1

F1/4

211.96.134.2

R5

F0/0

10.10.1.1

F1/5

119.96.134.2

PC1(北京)

 

172.16.1.2

PC4(广州)

 

192.168.1.2

PC5(深圳)

 

10.10.1.2

 


二、各路由器及PC机设置

1、配置R1路由器

1.1、进入到特权模式

 

1.2、修改设备名为R1

 

1.3为防止敲错命令,引起路由器自动寻找DNS

 

1.4、配置F0/0的网口信息

 

1.5、配置F1/1的网口信息:因在小凡模拟器里,F1/1口为二层口,所以要输入no switch,把它变为三层口,才能设置IP地址。

 

1.6、配置路由信息:(也可用:ip route 0.0.0.0 0.0.0.0 202.96.134.2

 

1.7、定义一个IKE策略:因本次多×××连接,统一加密方式与认证,所以共用一个policy就行,便于以后维护。

 

1.8、设置IPSEC对等体验证方法:因为R1要与R4R5路由器建立×××,所以要建立两条信息,预共享密钥取8位以上,最好带特殊字符。

 

1.9、定义感兴趣流:R1R4的感兴趣流为172.16.1.0/24访问192.168.1.0/24,这里我用扩展的命名访问控制列表,并且在deny项前加200,是方便以后新增感兴趣流,根据思科的默认规则,第一条访问控制列表序号为10,此处设200,中间还有许多的区域可以使用,比如2030……如果R1边(北京)新增一网段172.16.2.0/24,那么只需在这个控制列表里写上“20 permit ip 172.16.2.0 0.0.0.255 192.168.1.0 0.0.0.255”即可。

 

1.10、同理,建立R1R5的感兴趣流:

 

1.11、定义交换集为mytrans,为何要用mytrans,因为习惯问题,我的防火墙都是取mytrans,所以此次路由器上,我也取mytrans,后面的两个esp参数,我是根据防火墙上约定的参数设置的,可以不跟我的设置一样,但两个×××的终端,参数一定要一致,否则建立不了连接。这个转换集可以跟上面的policy一样,多×××共用。

 

1.12、定义IPSEC SA的生命周期为一天(86400秒),这个可以共用。注意一点,如果思科路由器跟juniper路由器等建立×××连接,一定要手动设置,统一时间,思科设置默认生命周期为86400秒。

 

1.13、建立加密视图:注意一个接口上只能应用一个加密视图,所以所有×××的加密视图都归入至一个视图中,如mymap.

 

1.14、在接口上应用刚才建立的视图:

 

系统会提示isakmp启用

 

1.15、保存一下信息:记住一点,不管调试什么网络设备,在最后都要输入命令wri保存,防止断电,丢配置。经常有人诉苦,出差到外地调试好设备后,过几个月发现,网络设备断电后,连不上,原来是当初没有保存配置。

 

2R2路由器设置:

2.1、因R2在本次实验中,只是作为一个转发路由器,所以基本上不要设置什么繁杂的东西,设置路由与接口IP地址就行了。

 

 

2.2、设置路由信息:敲这么多命令,真累,还是动态路由好,等下×××通了,把它们都做成ospf玩玩。

 

3R3路由器配置:

3.1R3路由器接口配置

 

3.2、设置路由信息,并保存配置:

 

 

4R4路由器配置:

4.1R4路由器接口IP配置及路由设置

 

 

4.2、因为它要与R1建立×××,所以要定义IKE策略:

 

4.3、定义感兴趣流:

 

 

4.4、定义变换集为mytrans

 

4.5、定义SA生存时间:

 

4.6、定义map视图并在接口上应用:

 

 

4.7、建立×××连接的所有参数设置完毕,先测试一下网络的连通性:在R4ping R1路由器。因线路长,并且是虚拟机做实验,所以第一次,发五个包,前面四个包丢失。

 

 

4.8、启动虚拟PC,设置PC1,PC2,PC3IP信息:

 

 

4.9、测试一下PC1R4路由器的网络连通性,如果网络都不通,×××肯定是建立不起来的。从下图看,没有问题。

 

4.10、在R4路由器上查看它有没有与其它路由器建立×××。从下图看,还没有建立***

 

4.11、登录PC1的虚拟机,ping对端的PC4,前面两个包丢掉了,后面的连通了。

 

4.12、在R4路由器上再次查看sa情况。SA已建立。

 

4.13、这里提醒一下,其实不做×××连接,PC1是可以PINGPC4的。因为所有路由器都没有NAT转换。整个网络就是一个简单的局域网。在R4路由器上查看ipsec sa情况。可以清楚的看到本端地址192.168.1.0/24与对端地址172.16.1.0/24,包加密的个数为4.如果我们继续从PC1PC4ping测试,发加密的包有没有增加。

 

4.14、再次登录PC1ping对端的PC4

 

4.15、在R4上查看IPSEC SA情况:包有增加,说明×××连接有效。

 

5R5路由器配置:

5.1、发现模块器在登录时间超出后,耗了物理电脑80%的资源,所以在console里,把自动登出超时时间设为0.永不超时。其它的R1R2R3R4都补设了这个命令。

 

5.2、设置接口IP地址

 

5.3、路由设置:

 

5.4、建立IKE策略

 

5.5、建立共享密钥

 

5.6、建立感兴趣流

 

5.7建立变换集

 

5.8、建立视图

 

5.9、测试一下PC1R5的链路连通性,路由没有问题

 

5.10、在R5上查看IPSEC SA的情况,没有与其它路由器建立SA

 

5.11、在PC1PING 对端的PC5,网络通了。

 

5.12、在R5路由器上查看IPSEC SA的情况,已与R1路由器建立了×××连接。

 

 

实验完成,达到期望值。