一、基本配置:R1-R5的IP地址、改名、并让R1和R5模拟PC
R1(config)#int s1/1
R1(config-if)#ip add 10.1.1.1 255.255.255.0
R1(config-if)#no shu
R1(config)#ho PC1(改名)
PC1(config)#no ip routing(关闭其路由功能)
PC1(config)#ip default-gateway 10.1.1.254 (指定PC1的网关)
R2(config)#int s1/0
R2(config-if)#ip add 10.1.1.254 255.255.255.0
R2(config-if)#no shu
R2(config)#int s1/1
R2(config-if)#ip add 23.1.1.1 255.255.255.0
R2(config-if)#no shu
R3(config)#int s1/0
R3(config-if)#ip add 23.1.1.2 255.255.255.0
R3(config-if)#no shu
R3(config)#int s1/1
R3(config-if)#ip add 34.1.1.1 255.255.255.0
R3(config-if)#no shu
R4(config)#int s1/0
R4(config-if)#ip add 34.1.1.2 255.255.255.0
R4(config-if)#no shu
R4(config-if)#int s1/1
R4(config-if)#ip add 192.168.1.1 255.255.255.0
R4(config-if)#no shu
R5(config)#ho PC2(改名)
PC2(config)#int s1/0
PC2(config-if)#ip add 192.168.1.2 255.255.255.0
PC2(config-if)#no shu
PC2(config)#no ip routing(关闭其路由功能)
PC2(config)#ip default-gateway 192.168.1.1(指定PC2的网关)
二、配置公网环境(R2-R4)运行EIGRP
R2(config)#router ei 90
R2(config-router)#no au
R2(config-router)#net 23.0.0.0
R3(config)#router ei 90
R3(config-router)#no au
R3(config-router)#net 23.0.0.0
R3(config-router)#net 34.0.0.0
R4(config)#router ei 90
R4(config-router)#no au
R4(config-router)#net 34.0.0.0
R4(config-router)#do ping 23.1.1.1(测试公网环境已通)
三、配置IP Sec(R2、R4做site -to-site)
R2(config)#access-list 100 permit ip host 10.1.1.1 host 192.168.1.2
(使用ACL匹配:只有在这两个终端访问时用ESP封装加密,其余正常上网)
定制IKE策略,协商第一阶段:
R2(config)#crypto isakmp policy 1(创建isakmp SA,序列号1)
R2(config-isakmp)#hash md5(校验算法)
R2(config-isakmp)#encryption 3des (加密算法)
R2(config-isakmp)#authentication pre-share(认证方式:选择共享秘钥,也可为数字签名)
R2(config)#crypto isakmp key 6 liu address 34.1.1.2(对端IP地址)
(加密等级)
(共享秘钥)
第二阶段:选封装、选模式
R2(config)#crypto ipsec transform-set chun esp-3des esp-md5-hmac
R2(cfg-crypto-trans)#mode tunnel(选择模式)
R2(config)#crypto map yu 1 ipsec-isakmp
(配置名为“yu”的第一张map)
R2(config-crypto-map)#set peer 34.1.1.2
R2(config-crypto-map)#match address 100(匹配ACL)
R2(config-crypto-map)#set transform-set chun
R2(config)#int s1/1
R2(config-if)#crypto map yu(进入接口调用)
R2(config)#ip route 0.0.0.0 0.0.0.0 23.1.1.2(指一条缺省到公网上网)
对端R4上同理,就是匹配ACL不同
R4(config)#crypto isakmp policy 1
R4(config-isakmp)#hash md5
R4(config-isakmp)#encryption 3des
R4(config-isakmp)#authentication pre-share
R4(config-isakmp)#group 2
R4(config)#access-list 100 permit ip host 192.168.1.2 host 10.1.1.1
R4(config)#crypto isakmp key 6 liu address 23.1.1.1
R4(config)#crypto ipsec transform-set chun esp-3des esp-md5-hmac
R4(cfg-crypto-trans)#mode tunnel
R4(config)#crypto map yu 1 ipsec-isakmp
R4(config-crypto-map)#set peer 23.1.1.1
R4(config-crypto-map)#set transform-set chun
R4(config-crypto-map)#match address 100
R4(config)#int s1/0
R4(config-if)#crypto map yu
R4(config)#ip route 0.0.0.0 0.0.0.0 34.1.1.1
PC1#ping 192.168.1.2(测试能通)
R2#sho crypto isakmp sa(R2查看第一阶段)
IPv4 Crypto ISAKMP SA
dst src state conn-id status
34.1.1.2 23.1.1.1 QM_IDLE 1001 ACTIVE
R2#sho crypto ipsec sa(R2查看第二阶段)