路由器上做IPsecVPN

实验


实验拓扑图:

技术分享

实验环境:

在GNS3上搭建三台路由器,使用VPCS模拟两台PC,并规划上海和北京两家公司局域网。


实验要求:


在两家公司网关路由器上做IPsecVPN,使两家公司内网可以相互通信,并使数据加密传送达到信息安全的目的。


实验步骤:

首先规划路由器和PC机IP地址并在出口网关作做一条通向公网的默认路由:


R1:

R1(config)#int f0/1

R1(config-if)#ip add 192.168.10.1 255.255.255.0

R1(config-if)#no shut

R1(config-if)#int f0/0 

R1(config-if)#ip add 12.0.0.1 255.255.255.252

R1(config-if)#no shut

R1(config-if)#ex

R1(config)#ip route 0.0.0.0 0.0.0.0 12.0.0.2   


R2:


R2(config)#int f0/0

R2(config-if)#ip add 12.0.0.2 255.255.255.252

R2(config-if)#int f0/1

R2(config-if)#ip add 13.0.0.1 255.255.255.252

R2(config-if)#no shut


R3:


R3(config)#int f0/0

R3(config-if)#ip add 13.0.0.2 255.255.255.252

R3(config-if)#no shut

R3(config-if)#int f0/1

R3(config-if)#ip add 10.0.0.1 255.255.255.0

R3(config-if)#no shut

R3(config-if)#ex

R3(config)#ip route 0.0.0.0 0.0.0.0 13.0.0.1 


PC:

技术分享


接下来在网关路由器上做IPsecVPN:


配置如下:

R1:


R1(config)#crypto isakmp policy 1   //配置安全策略级别

R1(config-isakmp)#encryption des    //采用DES加密算法

R1(config-isakmp)#hash sha   //指定SHA验证功能

R1(config-isakmp)#authentication pre-share   //设备方式的验证

R1(config-isakmp)#group 2   //指定DH密钥组

R1(config-isakmp)#lifetime 60  //配置为60秒没有流量将自动断开连接

R1(config-isakmp)#crypto isakmp key 6 abc123 address 13.0.0.2   //设定共享密钥的内容和对端设备的IP地址


R1(config)#access-list 101 permit ip host 192.168.10.100 host 10.0.0.2  //配置ACL指定需要保护的流量

R1(config)#crypto ipsec transform-set benet esp-sha-hmac esp-des  //指定传输集名称和选项

R1(cfg-crypto-trans)#crypto map ipsecmap 1 ipsec-isakmp   //构建IPsecVPN会话

R1(config-crypto-map)#match address 101   //调用ACL

R1(config-crypto-map)#set peer 13.0.0.2  //指定对端IP地址

R1(config-crypto-map)#set transform-set benet  //调用传输集

R1(config-crypto-map)#ex

R1(config)#int f0/0

R1(config-if)#crypto map ipsecmap  //应用在接口


R3与R1绝大部分配置相同,将对端地址互指即可:


R3(config)#crypto isakmp policy 1

R3(config-isakmp)#encryption des

R3(config-isakmp)#hash sha

R3(config-isakmp)#authentication pre-share 

R3(config-isakmp)#group 2

R3(config-isakmp)#lifetime 60

R3(config-isakmp)#crypto isakmp key 6 abc123 address 12.0.0.1  



R3(config)#access-list 101 permit ip host 10.0.0.2 host 192.168.10.100  

R3(config)#crypto ipsec transform-set benet esp-sha-hmac esp-des

R3(cfg-crypto-trans)#ex    

R3(config)#crypto map ipsecmap 1 ipsec-isakmp 

R3(config-crypto-map)#match address 101

R3(config-crypto-map)#set peer 12.0.0.1

R3(config-crypto-map)#set transform-set benet

R3(config-crypto-map)#ex

R3(config)#int f0/0

R3(config-if)#crypto map ipsecmap


测试两台PC互通:


技术分享


实验完成

本文出自 “共同努力,共同进步~~” 博客,请务必保留此出处http://9067358.blog.51cto.com/9057358/1629247

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。