IP Sec 小练习

 

一、基本配置:R1-R5的IP地址、改名、并让R1和R5模拟PC

R1(config)#int s1/1

R1(config-if)#ip add 10.1.1.1 255.255.255.0

R1(config-if)#no shu

R1(config)#ho PC1(改名)

PC1(config)#no ip routing(关闭其路由功能)

PC1(config)#ip default-gateway 10.1.1.254 (指定PC1的网关)

 

R2(config)#int s1/0

R2(config-if)#ip add 10.1.1.254 255.255.255.0

R2(config-if)#no shu

R2(config)#int s1/1

R2(config-if)#ip add 23.1.1.1 255.255.255.0

R2(config-if)#no shu

 

R3(config)#int s1/0

R3(config-if)#ip add 23.1.1.2 255.255.255.0

R3(config-if)#no shu

R3(config)#int s1/1

R3(config-if)#ip add 34.1.1.1 255.255.255.0

R3(config-if)#no shu

 

R4(config)#int s1/0

R4(config-if)#ip add 34.1.1.2 255.255.255.0

R4(config-if)#no shu

R4(config-if)#int s1/1

R4(config-if)#ip add 192.168.1.1 255.255.255.0

R4(config-if)#no shu

 

R5(config)#ho PC2(改名)

PC2(config)#int s1/0

PC2(config-if)#ip add 192.168.1.2 255.255.255.0

PC2(config-if)#no shu

PC2(config)#no ip routing(关闭其路由功能)

PC2(config)#ip default-gateway 192.168.1.1(指定PC2的网关)

 

二、配置公网环境(R2-R4)运行EIGRP

R2(config)#router ei 90

R2(config-router)#no au

R2(config-router)#net 23.0.0.0

 

R3(config)#router ei 90

R3(config-router)#no au

R3(config-router)#net 23.0.0.0

R3(config-router)#net 34.0.0.0

 

R4(config)#router ei 90

R4(config-router)#no au

R4(config-router)#net 34.0.0.0

R4(config-router)#do ping 23.1.1.1(测试公网环境已通)

 

三、配置IP Sec(R2、R4做site -to-site

R2(config)#access-list 100 permit ip host 10.1.1.1 host 192.168.1.2

(使用ACL匹配:只有在这两个终端访问时用ESP封装加密,其余正常上网)

 

定制IKE策略,协商第一阶段:

R2(config)#crypto isakmp policy 1(创建isakmp SA,序列号1)

R2(config-isakmp)#hash md5(校验算法)

R2(config-isakmp)#encryption 3des (加密算法)

R2(config-isakmp)#authentication pre-share(认证方式:选择共享秘钥,也可为数字签名)

 R2(config)#crypto isakmp key 6 liu address 34.1.1.2(对端IP地址)

                           (加密等级)  (共享秘钥)

第二阶段:选封装、选模式

R2(config)#crypto ipsec transform-set chun esp-3des esp-md5-hmac

R2(cfg-crypto-trans)#mode tunnel(选择模式)

R2(config)#crypto map yu 1 ipsec-isakmp

(配置名为“yu”的第一张map)

R2(config-crypto-map)#set peer 34.1.1.2

R2(config-crypto-map)#match address 100(匹配ACL)

R2(config-crypto-map)#set transform-set chun

R2(config)#int s1/1

R2(config-if)#crypto map yu(进入接口调用)

R2(config)#ip route 0.0.0.0 0.0.0.0 23.1.1.2(指一条缺省到公网上网)

 

对端R4上同理,就是匹配ACL不同

R4(config)#crypto isakmp policy 1

R4(config-isakmp)#hash md5

R4(config-isakmp)#encryption 3des

R4(config-isakmp)#authentication pre-share

R4(config-isakmp)#group 2

R4(config)#access-list 100 permit ip host 192.168.1.2 host 10.1.1.1

R4(config)#crypto isakmp key 6 liu address 23.1.1.1

R4(config)#crypto ipsec transform-set chun esp-3des esp-md5-hmac

R4(cfg-crypto-trans)#mode tunnel

R4(config)#crypto map yu 1 ipsec-isakmp 

R4(config-crypto-map)#set peer 23.1.1.1

R4(config-crypto-map)#set transform-set chun

R4(config-crypto-map)#match address 100

R4(config)#int s1/0

R4(config-if)#crypto map yu

R4(config)#ip route 0.0.0.0 0.0.0.0 34.1.1.1

 

PC1#ping 192.168.1.2(测试能通)

R2#sho crypto isakmp sa(R2查看第一阶段)

IPv4 Crypto ISAKMP SA

dst             src             state          conn-id status

34.1.1.2        23.1.1.1        QM_IDLE           1001 ACTIVE

R2#sho crypto ipsec sa(R2查看第二阶段)

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值