4.1实验任务与目的
通过本实验可以掌握:
u(注:是在实验3的配置的基础上)
4.1.1 GRE over IPSec的概念
4.1.2 GRE over IPSec的配置和调试
4.1.3 GREover IPSec的应用
4.2 封装的报文格式
图(一)GRE over IPsec的报文格式
u注:在实验三的基础上。
4.3实验拓扑
图(二)GRE over IPsec的实验拓扑
4.4实验步骤(配置截图及说明)
配置IKE
R1(config)#crypto isakmp enable //开启isakmp (默认开启)
R1(config)#crypto isakmp policy 10 //创建一个isakmp策略,编号为10
R1(config-isakmp)#authentication pre-share
//配置isakmp采用的身份验证,这里采用的是域共享密钥
R1(config-isakmp)#encryption aes 256 //配置isakmp的加密算法,默认的是DES
R1(config-isakmp)#group 5 //配置isakmp采用的DH组,默认为1
R1(config-isakmp)#hash md5 //配置isakmp采用的HASH算法,默认的是SHA
R1(config-isakmp)#lifetime 43200
//配置密钥的更新周期为半天,默认的是86400
R1(config-isakmp)#exit //退出isakmp配置模式
R1(config)#crypto isakmp key 20130330 address 202.97.1.2
A pre-shared key for address mask 202.97.1.2255.255.255.255 already exists!
//配置对等体202.97.1.2的域共享密钥为20130330,双方配置的密钥需要一致
配置IPsec MAP
R1(config)#crypto ipsec transform-set byxah-sha-hmac esp-aes 256
//创建一个IPsec转换集,名称本地有效,但是双方路由器的转换集必须一致。
R1(config)#access-list 100 permit gre host202.96.1.1 host 202.97.1.2
//定义×××感兴趣数据流,用指明什么样的流量要通过×××加密传输。
注:这里限定的是从总部局域网到分部局域网的流量才进行加密,其他的流量不加密。
R1(config)#crypto map byxmap 30 ipsec-isakmp
//创建加密图,名称为byxmap,30为加密图的编号。
u注:名称和编号只本地有效。
R1(config-crypto-map)#set transform-set byx //调用转换集
R1(config-crypto-map)#set peer 202.97.1.2 //调用对等体的地址
R1(config-crypto-map)#match address 100 //指明×××感兴趣流量
R1(config-crypto-map)#ex //退出isakmp的配置模式
应用IPsec MAP
R1(config)#interf s0/0/0
R1(config-if)#crypto map byxmap //在接口上应用创建的加密图
*Jan 307:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
配置路由器R2:
R2(config)#crypto isakmp enable
R2(config)#crypto isakmp policy 10
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#encryption aes 256
R2(config-isakmp)#group 5
R2(config-isakmp)#hash md5
R2(config-isakmp)#lifetime 43200
R2(config-isakmp)#exit
R2(config)#crypto isakmp key 20130330 address202.96.1.1
A pre-shared key for address mask 202.96.1.1255.255.255.255 already exists!
R2(config)#crypto ipsec transform-set byxah-sha-hmac esp-aes 256
R2(config)#access-list 100 permit gre host202.97.1.2 host 202.96.1.1
R2(config)#crypto map byxmap 30 ipsec-isakmp
R2(config-crypto-map)#set transform-set byx
R2(config-crypto-map)#set peer 202.96.1.1
R2(config-crypto-map)#match address 100
R2(config-crypto-map)#exi
R2(config)#interf s0/0/1
R2(config-if)#crypto map byxmap
*Jan 307:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
u(注:在配置GRE IPSEC的时候R2上的命令及调试解释都与R1类似这里不再一一介绍)
4.5实验调试和问题处理
(1)sho ip route如图(三)、图(四)
图(三)显示R1上的路由条目
图(四)显示R2上的路由条目
(2)show crypto isakmppolicy
该命令显示isakmp的策略信息。如图(五)、图(六)
图(五)显示R1上isakmp的策略信息
图(六)显示R2上isakmp的策略信息
(3)show crypto map
该命令显示加密图的信息。如图(七)、图(八)。
图(七)显示R1上的加密图信息
图(八)显示R2上的加密图信息
(4)show crypto isakmp sa
该命令显示建立IPsec×××策略的信息。如图(九)、图(十)
图(九)显示R1上建立IPsec××× 信息
图(十)显示R1上建立IPsec×××信息
(5)tracerouter
跟踪数据包的去向。(表明总部与分支是联通的)如图(十一)。
图(十一)显示R1到分支网络的数据包跟踪路径
u 注:R3上命令以及调试解释均和R1上的一致,这里就不一一介绍。
u注:如果在设置IPSEC时出错了,可以使用以下命令删除:
全局下:no crypto isakmp poli10
接口下:no crypto map byxmap
全局下:no crypto isakmp key
全局下:no access-list 100
全局下:no crypto ipsectransform-set byx
u顺便问一下大家,有没有用一条命令删除,我这样删太麻烦了。
通过这次实验和写实验报告,
1、使我更清楚的理解和掌握×××的配置和原理,熟练了一下路由器的基本配置。
2、更深刻的知道,听老师讲课是很幸福的事情,因为,有时候自己埋头自学真的是件很痛苦的事。所以很感激。
3、知道了写好报告的重要性(对自己现在的学习和以后的工作),这个我还不是很熟练,希望在各位老师的监督下,能够熟练的写一份合格的报告。
4、这次实验,我感觉很充实,通过在做实验和写报告里出现的问题,让我知道了交流合作的重要性,让我开始慢慢的理解每一个命令含义,每一个协议的原理。嘿嘿,唯一遗憾的是没有能再真设备上来实验,不知道在真设备上遇到的问题是什么样的,我想可能如果是真设备实验的话,那种喜悦感可能来的会更加的真实,更加的会有成就感。
5、让我不畏惧在试验中有问题出现,呵呵,一个问题,一次提高,也是我更牢固记住这个知识点的一次好的机会。所以,我会很珍惜每次解决问题的机会。
1、网络工程师教程第三版
2、老师整理的精华笔记和PPT
3、思科网络实验室CCNP(路由技术)实验指南
以上仅是个人学习笔记总结报告,如有不正确或不合理的,烦扰大家多指正!
