实验项目:××× 的配置
                                                                              
实验环境介绍:
xxx广州办事处需要用×××方式连入公司总部。办事处和总部之间各有一台路由器,之间通过因特网连接。
 
完成标准:
在路由器上配置×××,使得网段50.50.50.0的计算机和网段60.60.60.0的计算机可以相互通信。
 
实验拓扑图如下:
 

***配置

 
操作步骤如下:
1.路由器的配置如下:
RA:
>en
#conf t
(config)#host RA
(config)#int s0/0
(config-if)#clock rate 64000
(config-if)#ip address 20.20.20.21 255.255.255.0
(config-if)#no sh
(config-if)#int s0/1
(config-if)#ip address 50.50.50.50 255.255.255.0
(config-if)#no sh
(config-if)#exit
(config)#ip route 0.0.0.0 0.0.0.0 20.20.20.20
(config)#crypto isakmp policy 1    建立IKE协商策略
(config-isakmp)#hash md5shal    设置**验证所用的算法
(config-isakmp)#authentication pre-share    设置路由器要使用预先共享的**
(config-isakmp)#exit
(config)#crypto isakmp key benet-passwork address 20.20.20.20    设置共享**和对端进址
(config)#crypto ipsec transform-set benetset ah-md5-hmac esp-des    配置IPSec传输模式
(config)#access-list 101 permit ip 50.50.50.0 0.0.0.255 60.60.60.0 0.0.0.255    指定Crypto访问列表
(config)#crypto map benetmap 1 ipsec-isakmp    创建CryptoMap
(config-crypto-map)#set peer 20.20.20.20    指定了×××链路对端的IP地址
(config-crypto-map)#set transform-set benetset    指定了Crypto Map所使用的传输模式
(config-crypto-map)#match address 101    指定Crypto Map使用的访问控制列表
(config-crypto-map)#exit
(config)#int s0/0
(config-if)#crypto map benetmap    应用Crypto Map到端口
(config-if)#end
#show ip int brief
 

***配置

#show crypto isakmp sa
 

***配置

#show crypto ipsec sa
 

***配置

#show crypto isakmp policy
 

***配置

#show crypto map
 

***配置

 
RB:
>en
#conf t
(config)#host RB
(config)#int s0/0
(config-if)#ip address 20.20.20.20 255.255.255.0
(config-if)#no sh
(config-if)#int s0/1
(config-if)#ip address 60.60.60.60 255.255.255.0
(config-if)#no sh
(config-if)#exit
(config)#ip route 0.0.0.0 0.0.0.0 20.20.20.21
(config)#crypto isakmp policy 1
(config-isakmp)#hash md5
(config-isakmp)#authentication pre-share
(config-isakmp)#exit
(config)#crypto isakmp key benet-passwork address 20.20.20.21
(config)#crypto ipsec transform-set benetset ah-md5-hmac esp-des
(config)#access-list 101 permit ip 60.60.60.0 0.0.0.255 50.50.50.0 0.0.0.255
(config)#crypto map benetmap 1 ipsec-isakmp
(config-crypto-map)#set peer 20.20.20.21
(config-crypto-map)#set transform-set benetset
(config-crypto-map)#match address 101
(config-crypto-map)#exit
(config)#int s0/0
(config-if)#crypto map benetmap
(config-if)#end
#show ip int brief
 

***配置

#show crypto isakmp sa
 

***配置

#show crypto ipsec sa
 

***配置

#show crypto isakmp policy
 

***配置

#show crypto map
 
 

***配置

2.PC机的配置如下:
PC1:
>en
#conf t
(config)#host PC1
(config)#no ip routing
(config)#int s0/1
(config-if)#ip address 50.50.50.1 255.255.255.0
(config-if)#no sh
(config-if)#exit
(config)#ip default-gateway 50.50.50.50
(config)#exit
PC1 ping PC2的结果如下图所示:
 

***配置

 
 
PC2:
>en
#conf t
(config)#host PC2
(config)#no ip routing
(config)#int s0/1
(config-if)#ip address 60.60.60.1 255.255.255.0
(config-if)#no sh
(config-if)#exit
(config)#ip default-gateway 60.60.60.60
(config)#exit
PC2 ping PC1的结果如下图所示:
 

***配置

 
经验证:
不同网段的计算机之间能够相互通信。
 
 
其它命令如下:
(config-isakmp)#group {1|2}    设置IKE所用的DH算法的复杂度
(config-isakmp)#encryption {des|3des}    设置加密所使用的算法
(config-isakmp)#lifetime seconds    设置SA的生存时间
 
 
IPSec传输模式可选择的参数有:
AH验证参数:ah-md5-hmas ah-sha-hmac
ESP加密参数:esp-des esp-3des esp-null
ESP验证参数:esp-md5-hma esp-sha-hmac
注意:在每种参数类型中只可以选一种方式,但是可以同时选择3种传输模式。例如:命令crypto ipsec transform-set benetset ah-md5-hmac esp-des esp-md5-hma表示,IPSec将同时使用AHESP协议,传输模式名称为benetset ,其中AH验证采用MD5算法,ESP加密采用DES算法,ESP验证采用MD5算法。