2.1实验任务与目的
通过本实验可以掌握:(本实验群都是在实验一的基础之上完成的)
2.1.1理解IPsec×××的概念。
2.1.2掌握IPsec×××的配置。
2.1.3掌握IPsec×××的调试命令和方法。
2.1.4正确理解IPsec×××的应用。
2.2 封装的报文格式
图(一)IPsec ×××的报文格式
2.3实验拓扑
图(二)IPsec ×××的实验拓扑
2.4内容与步骤(要有地址分配表、配置截图及说明)
配置路由器R1:
u(注:是在实验一的配置的基础上)
配置IKE
R1(config)#crypto isakmp enable //激活isakmp
R1(config)#crypto isakmp policy 10 //创建一个isakmp策略,编号为10
R1(config-isakmp)#authentication pre-share
//配置isakmp采用的身份验证,这里采用的是域共享密钥
R1(config-isakmp)#encryption 3des //配置isakmp的加密算法,默认的是DES
R1(config-isakmp)#group 2 //配置isakmp采用的DH组,默认为1
R1(config-isakmp)#hashmd 5 //配置isakmp采用的HASH算法,默认的是SHA
R1(config-isakmp)#lifetime 43200 //配置密钥的更新周期为半天,默认的是86400
R1(config-isakmp)#exit退出isakmp配置模式
R1(config)#crypto isakmp key 20130330 address 202.97.1.2 //配置对等体202.97.1.2的域共享密钥为20130330,双方配置的密钥需要一致
A pre-shared key foraddress mask 202.97.1.2 255.255.255.255 already exists!
配置IPsecMAP
R1(config)#crypto ipsec transform-set byx ah-md5-hmac esp-3des
//创建一个IPsec转换集,名称本地有效,但是双方路由器的转换集必须一致。
R1(config)#access-list 100 permit ip 172.16.96.0 0.0.0.255 172.16.97.0 0.0.0.255
//定义×××感兴趣数据流,用指明什么样的流量要通过×××加密传输。
注:这里限定的是从总部局域网到分部局域网的流量才进行加密,其他的流量不加密。
R1(config)#crypto map byxmap 20 ipsec-isakmp
//创建加密图,名称为byxmap,20为加密图的编号。
注:名称和编号只本地有效。
R1(config-crypto-map)#set transform-set byx //调用转换集
R1(config-crypto-map)#set peer 202.97.1.2 //调用对等体的地址
R1(config-crypto-map)#match address 100 //指明×××感兴趣流量
R1(config-crypto-map)#ex //退出isakmp的配置模式
R1(config)#
应用IPsecMAP
R1#conf ter
Enter configurationcommands, one per line. End with CNTL/Z.
R1(config)#interf s0/0/0
R1(config-if)#crypto map byxmap //在接口上应用创建的加密图
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF:ISAKMP is ON
R1(config-if)#end
R1#
%SYS-5-CONFIG_I:Configured from console by console
R1#wr
Buildingconfiguration...
[OK]
配置路由器ISP
ISP>enable
ISP#configure terminal
Enter configurationcommands, one per line. End with CNTL/Z.
ISP(config)#no ip route 172.16.96.0 255.255.255.0 Serial0/0/
ISP(config)#no ip route 172.16.97.0 255.255.255.0 Serial0/0/1
//删除ISP上的×××到分支和总部的静态路由,走×××网关
配置路由器R3:
配置IKE
R3(config)#crypto isakmp enable
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#group 2
R3(config-isakmp)#hashmd 5
R3(config-isakmp)#lifetime 43200
R3(config-isakmp)#exit
R3(config)#cryptoisakmp key 20130330 address 202.96.1.1
A pre-shared key foraddress mask 202.96.1.1 255.255.255.255 already exists!
配置IPsecMAP
R2(config)#crypto ipsec transform-set byx ah-md5-hmac esp-3des
R2(config)#access-list100 permit ip 172.16.97.0 0.0.0.255 172.16.96.0 0.0.0.255
R2(config)#crypto map byxmap 20 ipsec-isakmp
R2(config-crypto-map)#set transform-set byx
R2(config-crypto-map)#set peer 202.96.1.1
R2(config-crypto-map)#match address 100
R2(config-crypto-map)#ex
应用IPsecmap
R3#conf ter
Enter configurationcommands, one per line. End with CNTL/Z.
R3(config)#interf s0/0/1
R3(config-if)#crypto map byxmap
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF:ISAKMP is ON
R3(config-if)#end
R3#
%SYS-5-CONFIG_I:Configured from console by console
R3#wr
Building configuration...
[OK]
2.5实验调试及问题处理
(1)sho ip route
在路由器R1、ISP、R2上查看路由表。
图(三)R1上的路由条目
图(四)ISP上的路由条目
图(五)R2上的路由条目
(2)show crypto isakmp policy
该命令显示isakmp的策略信息。如图(六)、图(七)
图(六)R1上isakmp策略信息
图(七)R2上isakmp策略信息
(3)show crypto map
该命令显示加密图的信息。如图(八)、图(九)。
图(八)显示R1上加密图信息
图(九)显示R2上加密图信息
(4)ping
u注:R2上命令以及调试解释均和R1上的一致,这里就不一一介绍。
以上仅是个人学习笔记总结报告,如有不正确或不合理的,烦扰大家多指正!
