IPSec VPN实验

IPSec VPN实验

实验拓扑：

实验目的：掌握IPSec VPN原理

掌握site-to-site VPN配置

IPSec配置参数：

实验需求: 在R1、R2间配置site-to-site VPN，对172.16.1.0/24和172.16.2.0/24网段数据进行加密

实验步骤：

步骤一：按照实验拓扑，对路由器、PC机进行基本配置。保证底层网络互通。

步骤二：对R1进行IPSec配置

A- 配置密钥交换策略

R1(config)#crypto isakmp policy 10

R1(config-isakmp)#authentication pre-share

R1(config-isakmp)#hash md5

R1(config-isakmp)#group 2

R1(config-isakmp)#encryption 3des

R1(config-isakmp)#exit

B- 配置预共享密钥

R1(config)#crypto isakmp key 6 cisco address 61.1.1.2

C- 配置加密转换集myset

R1(config)#crypto ipsec transform-set myset esp-3des esp-sha-hmac ah-sha-hmac

D- 配置访问控制列表，定义兴趣流量，控制对172.16.1.0/24到172.16.2.0/24网络数据进行加密

R1(config)#access-list 100 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255

E- 配置加密映射图，绑定接口

R1(config)#crypto map mymap 10 ipsec-isakmp

R1(config-crypto-map)#match address 100

R1(config-crypto-map)#set transform-set myset

R1(config-crypto-map)#set peer 61.1.1.2

R1(config-crypto-map)#end

R1(config)#int s1/1

R1(config-if)#crypto map mymap

步骤三：对R2进行IPSec配置

A- 配置密钥交换策略

R2(config)#crypto isakmp policy 10

R2(config-isakmp)#authentication pre-share

R2(config-isakmp)#hash md5

R2(config-isakmp)#group 2

R2(config-isakmp)#encryption 3des

R2(config-isakmp)#exit

B- 配置预共享密钥

R2(config)#crypto isakmp key 6 cisco address 61.1.1.1

C- 配置加密转换集myset

R2(config)#crypto ipsec transform-set myset esp-3des esp-sha-hmac ah-sha-hmac

D- 配置访问控制列表，定义兴趣流量，控制对172.16.2.0/24到172.16.1.0/24网络数据进行加密

R2(config)#access-list 100 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255

E- 配置加密映射图，绑定接口

R2(config)#crypto map mymap 10 ipsec-isakmp

R2(config-crypto-map)#match address 100

R2(config-crypto-map)#set transform-set myset

R2(config-crypto-map)#set peer 61.1.1.1

R2(config-crypto-map)#exit

R2(config)#int s1/0

R2(config-if)#crypto map mymap

步骤三：使用ping命令从PC1 ping PC2，测试连通性。Ping通后使用命令

show crypto isakmp peers查看建立的对等体连接。

IPSec VPN常用查看命令：