思科路由器創建北京－廣州－深圳三地IPSEC ××× 鏈接

思科路由器創建多條IPSEC ×××鏈接

1、參數約定

環  境：dynamipsGUI模擬器，IOS 3745

網絡狀況：見下圖

IP地址：

設備名	接  口	IP地址
R1	F0/0	172.16.1.1
	F1/1	202.96.134.1
R2	F1/1	202.96.134.2
	F1/3	61.96.134.1
R3	F1/3	61.96.134.2
	F1/4	211.96.134.1
	F1/5	119.96.134.1
R4	F0/0	192.168.1.1
	F1/4	211.96.134.2
R5	F0/0	10.10.1.1
	F1/5	119.96.134.2
PC1(北京)		172.16.1.2
PC4(廣州)		192.168.1.2
PC5(深圳)		10.10.1.2

 

2、各路由器及PC機設置

1、配置R1路由器

1.1、進入到特權模式

 

1.2、修改設備名爲R1

 

1.3爲防止敲錯命令，引發路由器自動尋找DNS

 

1.4、配置F0/0的網口信息

 

1.5、配置F1/1的網口信息：因在小凡模擬器裏，F1/1口爲二層口，因此要輸入no switch，把它變爲三層口，才能設置IP地址。

 

1.6、配置路由信息：（也可用：ip route 0.0.0.0 0.0.0.0 202.96.134.2）

 

1.7、定義一個IKE策略：因本次多×××鏈接，統一加密方式與認證，因此共用一個policy就行，便於之後維護。

 

1.8、設置IPSEC對等體驗證方法：由於R1要與R4，R5路由器創建×××，因此要創建兩條信息，預共享密鑰取8位以上，最好帶特殊字符。

 

1.9、定義感興趣流：R1到R4的感興趣流爲172.16.1.0/24訪問192.168.1.0/24，這裏我用擴展的命名訪問控制列表，而且在deny項前加200，是方便之後新增感興趣流，根據思科的默認規則，第一條訪問控制列表序號爲10，此處設200，中間還有許多的區域能夠使用，好比20，30……若是R1邊（北京）新增一網段172.16.2.0/24，那麼只需在這個控制列表裏寫上「20 permit ip 172.16.2.0 0.0.0.255 192.168.1.0 0.0.0.255」便可。

 

1.10、同理，創建R1到R5的感興趣流：

 

1.11、定義交換集爲mytrans，爲什麼要用mytrans，由於習慣問題，個人防火牆都是取mytrans，因此這次路由器上，我也取mytrans，後面的兩個esp參數，我是根據防火牆上約定的參數設置的，能夠不跟個人設置同樣，但兩個×××的終端，參數必定要一致，不然創建不了鏈接。這個轉換集能夠跟上面的policy同樣，多×××共用。

 

1.12、定義IPSEC SA的生命週期爲一天（86400秒），這個能夠共用。注意一點，若是思科路由器跟juniper路由器等創建×××鏈接，必定要手動設置，統一時間，思科設置默認生命週期爲86400秒。

 

1.13、創建加密視圖：注意一個接口上只能應用一個加密視圖，因此全部×××的加密視圖都納入至一個視圖中，如mymap.

 

1.14、在接口上應用剛纔創建的視圖：

 

系統會提示isakmp啓用

 

1.15、保存一下信息：記住一點，無論調試什麼網絡設備，在最後都要輸入命令wri保存，防止斷電，丟配置。常常有人訴苦，出差到外地調試好設備後，過幾個月發現，網絡設備斷電後，連不上，原來是當初沒有保存配置。

 

2、R2路由器設置：

2.1、因R2在本次實驗中，只是做爲一個轉發路由器，因此基本上不要設置什麼繁雜的東西，設置路由與接口IP地址就好了。

 

 

2.2、設置路由信息：敲這麼多命令，真累，仍是動態路由好，等下×××通了，把它們都作成ospf玩玩。

 

3、R3路由器配置：

3.1、R3路由器接口配置

 

3.2、設置路由信息，並保存配置：

 

 

4、R4路由器配置：

4.1R4路由器接口IP配置及路由設置

 

 

4.2、由於它要與R1創建×××，因此要定義IKE策略：

 

4.3、定義感興趣流：

 

 

4.4、定義變換集爲mytrans

 

4.5、定義SA生存時間：

 

4.6、定義map視圖並在接口上應用：

 

 

4.7、創建×××鏈接的全部參數設置完畢，先測試一下網絡的連通性：在R4上ping R1路由器。因線路長，而且是虛擬機作實驗，因此第一次，發五個包，前面四個包丟失。

 

 

4.8、啓動虛擬PC，設置PC1,PC2,PC3的IP信息：

 

 

4.9、測試一下PC1至R4路由器的網絡連通性，若是網絡都不通，×××確定是創建不起來的。從下圖看，沒有問題。

 

4.10、在R4路由器上查看它有沒有與其它路由器創建×××。從下圖看，尚未創建***。

 

4.11、登陸PC1的虛擬機，ping對端的PC4，前面兩個包丟掉了，後面的連通了。

 

4.12、在R4路由器上再次查看sa狀況。SA已創建。

 

4.13、這裏提醒一下，其實不作×××鏈接，PC1是能夠PING通PC4的。由於全部路由器都沒有NAT轉換。整個網絡就是一個簡單的局域網。在R4路由器上查看ipsec sa狀況。能夠清楚的看到本端地址192.168.1.0/24與對端地址172.16.1.0/24，包加密的個數爲4.若是咱們繼續從PC1向PC4做ping測試，發加密的包有沒有增長。

 

4.14、再次登陸PC1，ping對端的PC4

 

4.15、在R4上查看IPSEC SA狀況：包有增長，說明×××鏈接有效。

 

5、R5路由器配置：

5.1、發現模塊器在登陸時間超出後，耗了物理電腦80%的資源，因此在console裏，把自動登出超時時間設爲0.永不超時。其它的R1，R2，R3，R4都補設了這個命令。

 

5.2、設置接口IP地址

 

5.3、路由設置：

 

5.4、創建IKE策略

 

5.5、創建共享密鑰

 

5.6、創建感興趣流

 

5.7創建變換集

 

5.8、創建視圖

 

5.9、測試一下PC1到R5的鏈路連通性，路由沒有問題

 

5.10、在R5上查看IPSEC SA的狀況，沒有與其它路由器創建SA。

 

5.11、在PC1上PING 對端的PC5，網絡通了。

 

5.12、在R5路由器上查看IPSEC SA的狀況，已與R1路由器創建了×××鏈接。

 

 

實驗完成，達到指望值。