一、前言
如图所示,某软件开发公司在中小城市建立了分支公司,分支公司开发项目小组所在网络地址为 172.16.10.0/24,该网络的主机可以通过 ××× 访问总公司开发数据服务器(10.10.33.0/24)。根据上述需求,网络管理员需要在分支公司的网关路由器上配置 ×××。
二、实验拓扑图
三、实验配置和命令
1.PC机配置
2.Server配置
3.Router0配置
路由方面的配置
R1(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2 //设置静态路由
配置 ISAKMP 策略
R1(config)#crypto isakmp policy 1 //设置加密协议isakmp策略为1
R1(config-isakmap)#encryption 3des //设置加密算法为 3des
R1(config-isakmap)#hash sha //设置哈希算法为sha
R1(config-isakmap)#authentication pre-share //采用预共享密钥方式
R1(config-isakmap)#group 2 //指定DH算法的密钥长度为组2
R1(config)#crypto isakmp key tedu address 200.0.0.1 //设置加密协议 isakmp 密钥为tedu指定地址为200.0.0.1
配置 ACL
R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255 //设置acl 100 允许172.16.100.0网段访问10.10.33.0 网段
配置 IPSec 策略(转换集)
R1(config)#crypto ipsec transform-set yf-set ah-sha-hmac esp-des //设置加密ipsec策略转换集名称为yf-set支持ah-sha-hmac
配置加密映射集
R1(config)#crypto map yf-map 1 ipsec-isakmp //设置映射集 yf-map 1 协议为 ipsec-isakmp
R1(config-crypto-map)#set peer 200.0.0.1 //与200.0.0.1端口建立邻居关系
R1(config-crypto-map)#set transform-set yf-set //添加ipsec策略转换集 yf-set
R1(config-crypto-map)#match address 100 //匹配acl 100
将映射集应用在接口
R1(config)#interface f0/1 //进入接口f0/1
R1(config-if)#crypto map yf-map //设置映射集 yf-map
4.Router3配置
路由方面的配置
R2(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2 //设置静态路由
配置 ISAKMP 策略
R2(config)#crypto isakmp policy 1 //设置加密协议isakmp策略为1
R2(config-isakmap)#encryption 3des //设置加密算法为 3des
R2(config-isakmap)#hash sha //设置哈希算法为sha
R2(config-isakmap)#authentication pre-share //采用预共享密钥方式
R2(config-isakmap)#group 2 //指定DH算法的密钥长度组2
R2(config)#crypto isakmp key tedu address 100.0.0.1 //设置加密协议 isakmp 密钥为tedu指定地址为100.0.0.1 (密钥必须相同)
配置 ACL
R2(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255 //设置acl 100 允许10.10.33.0网段访问172.16.10.0 网段
配置 IPSec 策略(转换集)
R2(config)#crypto ipsec transform-set yf-set ah-sha-hmac esp-des //设置加密ipsec策略转换集名称为yf-set支持ah-sha-hmac(加密和认证算法要与分公司匹配)
配置加密映射集
R2(config)#crypto map yf-map 1 ipsec-isakmp //设置映射集 yf-map 1 协议为 ipsec-isakmp(与R1要相同)
R2(config-crypto-map)#set peer 100.0.0.1 //与100.0.0.1端口建立邻居关系
R2(config-crypto-map)#set transform-set yf-set //添加ipsec策略转换集 yf-set
R2(config-crypto-map)#match address 100 //匹配acl 100
将映射集应用在接口
R2(config)#interface f0/0 //进入接口f0/0
R2(config-if)#crypto map yf-map //设置映射集 yf-map
四、测试:Ping 或访问 Web 服务
1.pc机ping到server服务器验证
2.pc机访问到server服务器web验证
3.验证第一阶段是否成功
R1#show crypto isakmp sa
R2#show crypto isakmp sa
五、个人笔记总结
Vpn:虚拟专用网
作用:1.使用加密技术防止数据被窃听
2.数据完整性验证防止数据被破坏、篡改
3.通过认证机制确认身份,防止数据被截获、回收。
Vpn访问方式:
1.站点到站点vpn:公司对公司
1.远程访问vpn:公司对个人
Ipsec vpn连接需要3个步骤
1.流量触发ispec
2.建立管理连接(阶段一)
3.建立数据连接(阶段二)
Ipsec vpn配置步骤
1.配置isakmp策略
2.配置acl
3.配置ipsec策略(转换集)
4.配置加密映射集
5.将映射集应用在接口
加密算法方式:
对称加密算法:des、3des、aes
非对称加密:rsa、dsa
非对应加密算法密钥方式:
1.(分公钥、私钥):公钥加密,私钥解密。
2.(邮件应用较多)私钥签名,公钥解密。
缺点:计算时间长
Md5(信息摘要算法):创建了128位bit签名,Md5执行速度较快。
Sha(安全散列算法):可以产生160位签名,成为美国国家标准。
Dh算法(迪菲-赫尔曼):dh组1有效密钥长度768,组2有效密钥长度1024、组5有效密钥长度1536。
Ah:认证头协议,数据验证,对整个ip数据包
Esp:封装安全载荷协议,对用户数据实现加密,
隧道模式:ip头部保护:新ip,vpn头,ip包头,有效载荷,vpn尾
