一、实验拓扑图(本实验由cisco模拟器实现)
二、实验目的
通过IPSec VPN的配置,令PC0、PC2、PC2、PC3之间能够相互通信。
三、实验步骤:
路由器RA操作如下:
Router>enable #进入特权模式
Router#configterminal #进入全局配置模式
Router(config)#hostname RA #给设备命名
RA(config)#no ip domain-lookup #禁用DNS查找功能
RA(config)#line console 0 #进入console配置模式
RA(config-line)#logging synchronous #配置控制台输出日志同步
RA(config-line)#exec-timeout 0 0 #配置控制台会话时间为永不超时
RA(config-line)#exit
RA(config)#interfaceFastEthernet0/0
RA(config-if)#ip address 192.168.1.1 255.255.255.0 #配置IP地址及子网掩码
RA(config-if)#no shutdown #开启接口
RA(config-if)#exit
RA(config)#interface FastEthernet0/1
RA(config-if)#ipaddress 20.1.1.1 255.255.255.252
RA(config-if)#noshutdown
RA(config)#cryptoisakmp enable #启动IKE策略
RA(config)#crypto isakmp policy 1 #建立IKE协商策略
RA(config-isakmp)#hash sha #设置密钥认证所用算法
RA(config-isakmp)#encryption 3des #设置加密所使用的算法
RA(config-isakmp)#group2
RA(config-isakmp)#authentication pre-share #设置认证类型为预共享密钥
RA(config-isakmp)#exit
RA(config)#crypto isakmp key Test_key address 30.1.1.2 #设置密钥以及对方的IP地址
RA(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 172.16.1.00.0.0.255 #定义一组感兴趣流
RA(config)#crypto ipsec transform-set Test_form ah-md5-hmac esp-3des #设置传输模式用于定义VPN隧道所使用的认证类型
RA(config)#crypto map Test_map 1 ipsec-isakmp #将VPN隧道所有信息做整合
RA(config-crypto-map)#match address 101 #应用访问控制列表当中的感兴趣流
RA(config-crypto-map)#set peer 30.1.1.2 #确定VPN对端的IP地址
RA(config-crypto-map)#set transform-set Test_form #设置VPN所使用的认证类型
RA(config-crypto-map)#exit
RA(config)#int f0/1
RA(config-if)#crypto map Test_map #将密钥图应用于接口
RA(config-if)#exit
RA(config)#ip route 0.0.0.0 0.0.0.0 20.1.1.2 #配置默认路由
RA(config)#
Internet路由器如下:
Router>enable
Router#configure terminal
Router(config)#interface FastEthernet0/0
Router(config-if)#ip address 20.1.1.2 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface FastEthernet0/1
Router(config-if)#ip address 30.1.1.1 255.255.255.252
Router(config-if)#no shutdown
路由器RB操作(与路由器RA类似):
Router>enable
Router#config t
Router(config)#hostname RB
RB(config)#no ip domain-lookup
RB(config)#line console 0
RB(config-line)#logging synchronous
RB(config-line)#exec-timeout 0 0
RB(config-line)#exit
RB(config)#interface FastEthernet0/0
RB(config-if)#ip address 30.1.1.2 255.255.255.252
RB(config-if)#no shutdown
RB(config-if)#exit
RB(config)#interface FastEthernet0/1
RB(config-if)#ip address 172.16.1.1 255.255.255.0
RB(config-if)#no shutdown
RB(config)#cryptoisakmp enable
RB(config)#crypto isakmp policy 1
RB(config-isakmp)#hash sha
RB(config-isakmp)#encryption3des
RB(config-isakmp)#group2
RB(config-isakmp)#authentication pre-share
RB(config-isakmp)#exit
RB(config)#crypto isakmp key Test_key address 20.1.1.1
RB(config)#access-list 101 permit ip 172.16.1.0 0.0.0.255192.168.1.0 0.0.0.255
RB(config)#crypto ipsec transform-set Test_form ah-md5-hmac esp-3des
RB(config)#crypto map Test_map 1 ipsec-isakmp
RB(config-crypto-map)#match address 101
RB(config-crypto-map)#set peer 20.1.1.1
RB(config-crypto-map)#set transform-set Test_form
RB(config-crypto-map)#exit
RB(config)#int f0/0
RB(config-if)#crypto map Test_map
RB(config-if)#exit
RB(config)#ip route 0.0.0.0 0.0.0.0 30.1.1.1
四、测试
PC0 ping PC2:
