***配置
实验项目:××× 的配置
实验环境介绍:
xxx广州办事处需要用×××方式连入公司总部。办事处和总部之间各有一台路由器,之间通过因特网连接。
完成标准:
在路由器上配置×××,使得网段50.50.50.0的计算机和网段60.60.60.0的计算机可以相互通信。
实验拓扑图如下:
操作步骤如下:
1.路由器的配置如下:
RA:
>en
#conf t
(config)#host RA
(config)#int s0/0
(config-if)#clock rate 64000
(config-if)#ip address 20.20.20.21 255.255.255.0
(config-if)#no sh
(config-if)#int s0/1
(config-if)#ip address 50.50.50.50 255.255.255.0
(config-if)#no sh
(config-if)#exit
(config)#ip route 0.0.0.0 0.0.0.0 20.20.20.20
(config)#crypto isakmp policy 1 建立IKE协商策略
(config-isakmp)#hash md5(或shal) 设置**验证所用的算法
(config-isakmp)#authentication pre-share 设置路由器要使用预先共享的**
(config-isakmp)#exit
(config)#crypto isakmp key benet-passwork address 20.20.20.20 设置共享**和对端进址
(config)#crypto ipsec transform-set benetset ah-md5-hmac esp-des 配置IPSec传输模式
(config)#access-list 101 permit ip 50.50.50.0 0.0.0.255 60.60.60.0 0.0.0.255 指定Crypto访问列表
(config)#crypto map benetmap 1 ipsec-isakmp 创建CryptoMap
(config-crypto-map)#set peer 20.20.20.20 指定了×××链路对端的IP地址
(config-crypto-map)#set transform-set benetset 指定了Crypto Map所使用的传输模式
(config-crypto-map)#match address 101 指定Crypto Map使用的访问控制列表
(config-crypto-map)#exit
(config)#int s0/0
(config-if)#crypto map benetmap 应用Crypto Map到端口
(config-if)#end
#show ip int brief
#show crypto isakmp sa
#show crypto ipsec sa
#show crypto isakmp policy
#show crypto map
RB:
>en
#conf t
(config)#host RB
(config)#int s0/0
(config-if)#ip address 20.20.20.20 255.255.255.0
(config-if)#no sh
(config-if)#int s0/1
(config-if)#ip address 60.60.60.60 255.255.255.0
(config-if)#no sh
(config-if)#exit
(config)#ip route 0.0.0.0 0.0.0.0 20.20.20.21
(config)#crypto isakmp policy 1
(config-isakmp)#hash md5
(config-isakmp)#authentication pre-share
(config-isakmp)#exit
(config)#crypto isakmp key benet-passwork address 20.20.20.21
(config)#crypto ipsec transform-set benetset ah-md5-hmac esp-des
(config)#access-list 101 permit ip 60.60.60.0 0.0.0.255 50.50.50.0 0.0.0.255
(config)#crypto map benetmap 1 ipsec-isakmp
(config-crypto-map)#set peer 20.20.20.21
(config-crypto-map)#set transform-set benetset
(config-crypto-map)#match address 101
(config-crypto-map)#exit
(config)#int s0/0
(config-if)#crypto map benetmap
(config-if)#end
#show ip int brief
#show crypto isakmp sa
#show crypto ipsec sa
#show crypto isakmp policy
#show crypto map
2.PC机的配置如下:
PC1:
>en
#conf t
(config)#host PC1
(config)#no ip routing
(config)#int s0/1
(config-if)#ip address 50.50.50.1 255.255.255.0
(config-if)#no sh
(config-if)#exit
(config)#ip default-gateway 50.50.50.50
(config)#exit
PC1 ping PC2的结果如下图所示:
PC2:
>en
#conf t
(config)#host PC2
(config)#no ip routing
(config)#int s0/1
(config-if)#ip address 60.60.60.1 255.255.255.0
(config-if)#no sh
(config-if)#exit
(config)#ip default-gateway 60.60.60.60
(config)#exit
PC2 ping PC1的结果如下图所示:
经验证:
不同网段的计算机之间能够相互通信。
其它命令如下:
(config-isakmp)#group {1|2} 设置IKE所用的DH算法的复杂度
(config-isakmp)#encryption {des|3des} 设置加密所使用的算法
(config-isakmp)#lifetime seconds 设置SA的生存时间
IPSec传输模式可选择的参数有:
AH验证参数:ah-md5-hmas 、ah-sha-hmac
ESP加密参数:esp-des 、esp-3des 、esp-null
ESP验证参数:esp-md5-hma 、esp-sha-hmac
注意:在每种参数类型中只可以选一种方式,但是可以同时选择3种传输模式。例如:命令crypto ipsec transform-set benetset ah-md5-hmac esp-des esp-md5-hma表示,IPSec将同时使用AH和ESP协议,传输模式名称为benetset ,其中AH验证采用MD5算法,ESP加密采用DES算法,ESP验证采用MD5算法。
转载于:https://blog.51cto.com/surfing/811163