思科路由器建立北京-广州-深圳三地IPSEC ××× 连接
思科路由器建立多条IPSEC ×××连接
一、参数约定
环 境:dynamipsGUI模拟器,IOS 3745
网络情况:见下图
IP地址:
|
设备名 |
接 口 |
IP地址 |
|
R1 |
F0/0 |
172.16.1.1 |
|
F1/1 |
202.96.134.1 |
|
|
R2 |
F1/1 |
202.96.134.2 |
|
F1/3 |
61.96.134.1 |
|
|
R3 |
F1/3 |
61.96.134.2 |
|
F1/4 |
211.96.134.1 |
|
|
|
F1/5 |
119.96.134.1 |
|
R4 |
F0/0 |
192.168.1.1 |
|
F1/4 |
211.96.134.2 |
|
|
R5 |
F0/0 |
10.10.1.1 |
|
F1/5 |
119.96.134.2 |
|
|
PC1(北京) |
|
172.16.1.2 |
|
PC4(广州) |
|
192.168.1.2 |
|
PC5(深圳) |
|
10.10.1.2 |
二、各路由器及PC机设置
1、配置R1路由器
1.1、进入到特权模式
1.2、修改设备名为R1
1.3为防止敲错命令,引起路由器自动寻找DNS
1.4、配置F0/0的网口信息
1.5、配置F1/1的网口信息:因在小凡模拟器里,F1/1口为二层口,所以要输入no switch,把它变为三层口,才能设置IP地址。
1.6、配置路由信息:(也可用:ip route 0.0.0.0 0.0.0.0 202.96.134.2)
1.7、定义一个IKE策略:因本次多×××连接,统一加密方式与认证,所以共用一个policy就行,便于以后维护。
1.8、设置IPSEC对等体验证方法:因为R1要与R4,R5路由器建立×××,所以要建立两条信息,预共享**取8位以上,最好带特殊字符。
1.9、定义感兴趣流:R1到R4的感兴趣流为172.16.1.0/24访问192.168.1.0/24,这里我用扩展的命名访问控制列表,并且在deny项前加200,是方便以后新增感兴趣流,根据思科的默认规则,第一条访问控制列表序号为10,此处设200,中间还有许多的区域可以使用,比如20,30……如果R1边(北京)新增一网段172.16.2.0/24,那么只需在这个控制列表里写上“20 permit ip 172.16.2.0 0.0.0.255 192.168.1.0 0.0.0.255”即可。
1.10、同理,建立R1到R5的感兴趣流:
1.11、定义交换集为mytrans,为何要用mytrans,因为习惯问题,我的防火墙都是取mytrans,所以此次路由器上,我也取mytrans,后面的两个esp参数,我是根据防火墙上约定的参数设置的,可以不跟我的设置一样,但两个×××的终端,参数一定要一致,否则建立不了连接。这个转换集可以跟上面的policy一样,多×××共用。
1.12、定义IPSEC SA的生命周期为一天(86400秒),这个可以共用。注意一点,如果思科路由器跟juniper路由器等建立×××连接,一定要手动设置,统一时间,思科设置默认生命周期为86400秒。
1.13、建立加密视图:注意一个接口上只能应用一个加密视图,所以所有×××的加密视图都归入至一个视图中,如mymap.
1.14、在接口上应用刚才建立的视图:
系统会提示isakmp启用
1.15、保存一下信息:记住一点,不管调试什么网络设备,在最后都要输入命令wri保存,防止断电,丢配置。经常有人诉苦,出差到外地调试好设备后,过几个月发现,网络设备断电后,连不上,原来是当初没有保存配置。
2、R2路由器设置:
2.1、因R2在本次实验中,只是作为一个转发路由器,所以基本上不要设置什么繁杂的东西,设置路由与接口IP地址就行了。
2.2、设置路由信息:敲这么多命令,真累,还是动态路由好,等下×××通了,把它们都做成ospf玩玩。
3、R3路由器配置:
3.1、R3路由器接口配置
3.2、设置路由信息,并保存配置:
4、R4路由器配置:
4.1R4路由器接口IP配置及路由设置
4.2、因为它要与R1建立×××,所以要定义IKE策略:
4.3、定义感兴趣流:
4.4、定义变换集为mytrans
4.5、定义SA生存时间:
4.6、定义map视图并在接口上应用:
4.7、建立×××连接的所有参数设置完毕,先测试一下网络的连通性:在R4上ping R1路由器。因线路长,并且是虚拟机做实验,所以第一次,发五个包,前面四个包丢失。
4.8、启动虚拟PC,设置PC1,PC2,PC3的IP信息:
4.9、测试一下PC1至R4路由器的网络连通性,如果网络都不通,×××肯定是建立不起来的。从下图看,没有问题。
4.10、在R4路由器上查看它有没有与其它路由器建立×××。从下图看,还没有建立***。
4.11、登录PC1的虚拟机,ping对端的PC4,前面两个包丢掉了,后面的连通了。
4.12、在R4路由器上再次查看sa情况。SA已建立。
4.13、这里提醒一下,其实不做×××连接,PC1是可以PING通PC4的。因为所有路由器都没有NAT转换。整个网络就是一个简单的局域网。在R4路由器上查看ipsec sa情况。可以清楚的看到本端地址192.168.1.0/24与对端地址172.16.1.0/24,包加密的个数为4.如果我们继续从PC1向PC4作ping测试,发加密的包有没有增加。
4.14、再次登录PC1,ping对端的PC4
4.15、在R4上查看IPSEC SA情况:包有增加,说明×××连接有效。
5、R5路由器配置:
5.1、发现模块器在登录时间超出后,耗了物理电脑80%的资源,所以在console里,把自动登出超时时间设为0.永不超时。其它的R1,R2,R3,R4都补设了这个命令。
5.2、设置接口IP地址
5.3、路由设置:
5.4、建立IKE策略
5.5、建立共享**
5.6、建立感兴趣流
5.7建立变换集
5.8、建立视图
5.9、测试一下PC1到R5的链路连通性,路由没有问题
5.10、在R5上查看IPSEC SA的情况,没有与其它路由器建立SA。
5.11、在PC1上PING 对端的PC5,网络通了。
5.12、在R5路由器上查看IPSEC SA的情况,已与R1路由器建立了×××连接。
实验完成,达到期望值。
转载于:https://blog.51cto.com/369369/559815