IPSEC ×××配置實例
實驗環境
Dynamips模擬器
Cisco IOS Software, 3700 Software (C3745-ADVIPSERVICESK9-M), Version 12.4(4)T, RELEASE SOFTWARE (fc1)
拓撲結構
以下圖所示, R1和R3是×××隧道的兩個對端設備。
其中R1的loop 0模擬終端pc1,表明鏈接到R1的×××內網172.16.1.0
R4模擬終端pc4,表明測試機
R5 f1/5與R3 f1/5之間的網絡,表明×××內網172.16.5.0
R5的loop 0模擬終端pc5,表明鏈接到R5的辦公室內網192.168.5.0
實驗要求
實現傳輸模式下的IPSEC-×××通訊。
使172.16.0.0(本實例爲172.16.1.0、172.16.4.0和172.16.5.0三個子網)網段內的各子網互聯。
而且192.168.5.0內網能夠訪問172.16.0.0 的子網。
操做步驟
一、基本配置
爲各路由器的鏈接端口配置IP,這裏以R3爲例
R3(config)#int f1/2
R3(config-if)#no switchport
R3(config-if)#ip add 23.1.1.3 255.255.255.0
R3(config-if)#no shut
R3(config-if)#int f1/4
R3(config-if)#no switchport
R3(config-if)#ip add 172.16.4.3 255.255.255.0
R3(config-if)#no shut
R3(config-if)#int f1/5
R3(config-if)#no switchport
R3(config-if)#ip add 172.16.5.3 255.255.255.0
R3(config-if)#no shut
R3(config-if)#exit
使用Ping命令確認各路由器的直連口的互通性。此時跨路由器是沒法訪問的。
二、R一、R3配置路由
分別在R1和R3上配置默認路由
R1
R1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.2
R3
R3(config)#ip route 0.0.0.0 0.0.0.0 23.1.1.2
配置完成後,R1和R3能夠互通。
三、R一、R3配置×××隧道
在R1上的配置,對端IP指定爲R3上的f1/2口IP。操做步驟可分爲兩階段:
第一階段設置初始身份認證,創建基本的安全通道,爲協商之後的SA作準備,主要定義ISAKMP策略,包括對稱加密算法、完整驗證算法、身份驗證的方法,SA的生存期,而且肯定雙方的密碼和IP地址。
R1(config)#crypto isakmp enable
R1(config)#crypto isakmp policy 100 !建立ISAKMP策略
R1(config-isakmp)#authentication pre-share !指定ISAKMP策略使用預共享密鑰的方式
R1(config-isakmp)#encryption des !指定ISAKMP策略使用DES進行加密
R1(config-isakmp)#group 1 !指定ISAKMP策略使用10位密鑰算法
R1(config-isakmp)#hash md5 !指定ISAKMP策略的消息摘要算法爲md5
R1(config-isakmp)#lifetime 86400 !指定ISAKMP策略建立的ISAKMP SA的有效期爲86400秒 ,這是默認值。
R1(config-isakmp)#exit
R1(config)#
R1(config)#crypto isakmp identity address !指定ISAKMP與分部路由器進行身份認證時使用IP地址做爲標誌。
R1(config)#crypto isakmp key cisco123 address 23.1.1.3 !設置isakmp中雙方用的密鑰和對端的IP地址(這一步是用於SA傳遞,SA是單向的)
第二階段,建立交換集、用於指定加密通訊的訪問控制列表、加密圖,並將加密圖應用到接口中。
R1(config)#crypto ipsec transform-set r1set esp-des esp-md5-hmac !配置IPSec交換集
R1(cfg-crypto-trans)#exit
R1(config)#
R1(config)#access-list 110 permit ip 172.16.1.0 0.0.0.255 172.16.4.0 0.0.0.255 !配置訪問控制列表指定須要加密的通訊
R1(config)#access-list 110 permit ip 172.16.1.0 0.0.0.255 172.16.5.0 0.0.0.255
R1(config)#access-list 110 permit ip 172.16.4.0 0.0.0.255 172.16.1.0 0.0.0.255
R1(config)#access-list 110 permit ip 172.16.5.0 0.0.0.255 172.16.1.0 0.0.0.255
R1(config)#
R1(config)#crypto map r1map 100 ipsec-isakmp !建立加密圖
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
R1(config-crypto-map)#match address 110 !指定使用此加密圖進行加密的通訊,用訪問控制列表來定義
R1(config-crypto-map)#set peer 23.1.1.3 !指定加密圖用於分支路由器創建×××鏈接
R1(config-crypto-map)#set transform-set r1set !指定加密圖使用的IPSec交換集。
R1(config-crypto-map)#set security-association lifetime kilobytes 86400
R1(config-crypto-map)#set pfs group1 !啓用向前保護密鑰功能,能夠不設置。
R1(config-crypto-map)#exit
R1(config)#
R1(config)#int f1/1
R1(config-if)#no ip mroute-cache
R1(config-if)#no fair-queue
R1(config-if)#crypto map r1map !設置外網接口並指定在該接口上應用配置好的加密圖
R1(config-if)#exit
R1(config)#
*Mar 1 02:12:00.819: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
在R3上的配置,基本與R1上的配置相同,對端IP指定爲R1上的f1/1口IP::
R3(config)#crypto isakmp enable
R3(config)#crypto isakmp policy 100
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#encryption des
R3(config-isakmp)#group 1
R3(config-isakmp)#hash md5
R3(config-isakmp)#lifetime 86400
R3(config-isakmp)#exit
R3(config)#
R3(config)#crypto isakmp identity address
R3(config)#crypto isakmp key cisco123 address 12.1.1.1
R3(config)#crypto ipsec transform-set r3set esp-des esp-md5-hmac
R3(cfg-crypto-trans)#exit
R3(config)#
R3(config)#access-list 110 permit ip 172.16.1.0 0.0.0.255 172.16.4.0 0.0.0.255
R3(config)#access-list 110 permit ip 172.16.1.0 0.0.0.255 172.16.5.0 0.0.0.255
R3(config)#access-list 110 permit ip 172.16.4.0 0.0.0.255 172.16.1.0 0.0.0.255
R3(config)#access-list 110 permit ip 172.16.5.0 0.0.0.255 172.16.1.0 0.0.0.255
R3(config)#
R3(config)#crypto map r3map 100 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
R3(config-crypto-map)#match address 110
R3(config-crypto-map)#set peer 12.1.1.1
R3(config-crypto-map)#set transform-set r3set
R3(config-crypto-map)#set security-association lifetime kilobytes 86400
R3(config-crypto-map)#set pfs group1
R3(config-crypto-map)#exit
R3(config)#
R3(config)#int f1/2
R3(config-if)#no ip mroute-cache
R3(config-if)#no fair-queue
R3(config-if)#crypto map r3map
R3(config-if)#exit
R3(config)#
*Mar 1 02:12:37.863: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
四、連通測試
R1#ping 172.16.4.3 source 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.4.3, timeout is 2 seconds:
Packet sent with a source address of 172.16.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/39/60 ms
----------------------------------------------------------
R1#ping 172.16.5.3 source 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.5.3, timeout is 2 seconds:
Packet sent with a source address of 172.16.1.1
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 12/49/76 ms
----------------------------------------------------------
R1#ping 172.16.4.4 source 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.4.4, timeout is 2 seconds:
Packet sent with a source address of 172.16.1.1
.....
Success rate is 0 percent (0/5)
----------------------------------------------------------
R1#ping 172.16.5.5 source 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.5.5, timeout is 2 seconds:
Packet sent with a source address of 172.16.1.1
.....
Success rate is 0 percent (0/5)
可見,此時172.16.1.1能ping通R3上的172.16.4.三、172.16.5.3,但不能ping通R四、R5,固然,R四、R5也沒法ping通172.16.1.1。R四、R5之間也是沒法訪問的。
由於此時的R四、R5具備路由功能,但卻沒有路由設置。
五、將R4置爲PC機終端
關閉R4的路由功能,併爲其設置默認網關,使其成爲一臺PC終端。
R4(config)#no ip routing
R4(config)#ip default-gateway 172.16.4.3
此時,172.16.1.1和R4能夠直接互相ping通,
R1#ping 172.16.4.4 source 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.4.4, timeout is 2 seconds:
Packet sent with a source address of 172.16.1.1
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 56/75/88 ms
六、在R5上創建默認路由
R5(config)#ip route 0.0.0.0 0.0.0.0 172.16.5.3
配置好路由後,R5能夠與pc一、pc4(R4)相互ping通,
R5(config)#do ping 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/50/104 ms
----------------------------------------------------------
R5(config)#do ping 172.16.4.4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.4.4, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/33/60 ms
----------------------------------------------------------
R1#ping 172.16.5.5 source 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.5.5, timeout is 2 seconds:
Packet sent with a source address of 172.16.1.1
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 36/56/88 ms
七、在R5上創建NAT
R5(config)#int f1/5
R5(config-if)#ip nat outside
R5(config-if)#exit
R5(config)#int loop 0
R5(config-if)#ip nat inside
R5(config-if)#exit
R5(config)#ip nat pool p1 172.16.5.5 172.16.5.5 netmask 255.255.255.0
R5(config)#access-list 1 permit 192.168.5.0 0.0.0.255
R5(config)#ip nat inside source list 1 pool p1 overload
R5(config)#exit
R5#ping 172.16.1.1 source 192.168.5.5
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.5.5
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/72/128 ms
固然了,外面是ping不進來的。
注:這是個小實驗,把×××和NAT的知識串到一塊兒來學習。
實際中×××網絡又是如何搭建的?本實驗中內網如何上外網?還有待研究。
相關文章
- 1. H3C IPSec配置實例
- 2. GNS3模擬Cisco+ipsec+***配置實例
- 3. 【安全系列】IPSEC ××× 配置實例
- 4. Ipsec *** 配置實驗
- 5. Cisco IPsec ××× 配置一例
- 6. IPSec *** 的配置實現
- 7. IPSec Over GRE配置實驗
- 8. IPSec配置
- 9. PIX525-IPSEC-×××配置
- 10. GRE over IPSec with OSPF配置案例
- 更多相關文章...
- • Eclipse Debug 配置 - Eclipse 教程
- • Maven 環境配置 - Maven教程
- • IntelliJ IDEA 代碼格式化配置和快捷鍵
- • IDEA下SpringBoot工程配置文件沒有提示
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
