实验项目: ××× 的配置
                                                                              
实验环境介绍:
xxx 广州办事处需要用××× 方式连入公司总部。办事处和总部之间各有一台路由器,之间通过因特网连接。
 
完成标准:
在路由器上配置 ××× ,使得网段 50.50.50.0 的计算机和网段 60.60.60.0 的计算机可以相互通信。
 
实验拓扑图如下:
 

 
操作步骤如下:
1 .路由器的配置如下:
RA:
> en
# conf t
(config)# host RA
(config)# int s0/0
(config-if)# clock rate 64000
(config-if)# ip address 20.20.20.21 255.255.255.0
(config-if)# no sh
(config-if)# int s0/1
(config-if)# ip address 50.50.50.50 255.255.255.0
(config-if)# no sh
(config-if)# exit
(config)# ip route 0.0.0.0 0.0.0.0 20.20.20.20
(config)# crypto isakmp policy 1    建立 IKE 协商策略
(config-isakmp)# hash md5 shal     设置密钥验证所用的算法
(config-isakmp)# authentication pre-share     设置路由器要使用预先共享的密钥
(config-isakmp)# exit
(config)# crypto isakmp key benet-passwork address 20.20.20.20    设置共享密钥和对端进址
(config)# crypto ipsec transform-set benetset ah-md5-hmac esp-des    配置 IPSec 传输模式
(config)# access-list 101 permit ip 50.50.50.0 0.0.0.255 60.60.60.0 0.0.0.255    指定 Crypto 访问列表
(config)# crypto map benetmap 1 ipsec-isakmp    创建 Crypto Map
(config-crypto-map)# set peer 20.20.20.20    指定了×××链路对端的 IP 地址
(config-crypto-map)# set transform-set benetset    指定了 Crypto Map 所使用的传输模式
(config-crypto-map)# match address 101    指定 Crypto Map 使用的访问控制列表
(config-crypto-map)# exit
(config)# int s0/0
(config-if)# crypto map benetmap     应用 Crypto Map 到端口
(config-if)# end
# show ip int brief
 

# show crypto isakmp sa
 

# show crypto ipsec sa
 

# show crypto isakmp policy
 

# show crypto map
 

 
RB:
> en
# conf t
(config)# host RB
(config)# int s0/0
(config-if)# ip address 20.20.20.20 255.255.255.0
(config-if)# no sh
(config-if)# int s0/1
(config-if)# ip address 60.60.60.60 255.255.255.0
(config-if)# no sh
(config-if)# exit
(config)# ip route 0.0.0.0 0.0.0.0 20.20.20.21
(config)# crypto isakmp policy 1
(config-isakmp)# hash md5
(config-isakmp)# authentication pre-share
(config-isakmp)# exit
(config)# crypto isakmp key benet-passwork address 20.20.20.21
(config)# crypto ipsec transform-set benetset ah-md5-hmac esp-des
(config)# access-list 101 permit ip 60.60.60.0 0.0.0.255 50.50.50.0 0.0.0.255
(config)# crypto map benetmap 1 ipsec-isakmp
(config-crypto-map)# set peer 20.20.20.21
(config-crypto-map)# set transform-set benetset
(config-crypto-map)# match address 101
(config-crypto-map)# exit
(config)# int s0/0
(config-if)# crypto map benetmap
(config-if)# end
# show ip int brief
 

# show crypto isakmp sa
 

# show crypto ipsec sa
 

# show crypto isakmp policy
 

# show crypto map
 
 

2 .PC机的配置如下:
PC1:
> en
# conf t
(config)# host PC1
(config)# no ip routing
(config)# int s0/1
(config-if)# ip address 50.50.50.1 255.255.255.0
(config-if)# no sh
(config-if)# exit
(config)# ip default-gateway 50.50.50.50
(config)# exit
PC1 ping PC2 的结果如下图所示:
 

 
 
PC2:
> en
# conf t
(config)# host PC2
(config)# no ip routing
(config)# int s0/1
(config-if)# ip address 60.60.60.1 255.255.255.0
(config-if)# no sh
(config-if)# exit
(config)# ip default-gateway 60.60.60.60
(config)# exit
PC2 ping PC1 的结果如下图所示:
 

 
经验证:
不同网段的计算机之间能够相互通信。
 
 
其它命令如下:
(config-isakmp)# group {1|2}     设置 IKE 所用的 DH 算法的复杂度
(config-isakmp)# encryption {des|3des}     设置加密所使用的算法
(config-isakmp)# lifetime seconds    设置 SA 的生存时间
 
 
IPSec 传输模式可选择的参数有:
AH 验证参数:ah-md5-hmas ah-sha-hmac
ESP 加密参数:esp-des esp-3des esp-null
ESP 验证参数:esp-md5-hma esp-sha-hmac
注意:在每种参数类型中只可以选一种方式,但是可以同时选择3种传输模式。 例如:命令 crypto ipsec transform-set benetset ah-md5-hmac esp-des esp-md5-hma 表示, IPSec 将同时使用 AH ESP 协议,传输模式名称为 benetset ,其中 AH 验证采用 MD5 算法, ESP 加密采用 DES 算法, ESP 验证采用 MD5 算法。