《计算机网络技术》实验16.pptVIP

* 实验16 IPSec VPN配置 【实验目的与要求】 1．理解IPsec VPN实现的原理。 2．掌握IPsec VPN的配置方法。 【实验原理】 IPsec（Internet Protocol security，IP安全协议）是实现VPN的其中一个方式，它是一个三层隧道协议，是用公用网来封装和传输三层（网路层）协议。 实验16 IPSec VPN配置 【实验拓扑图】 公司总部和分部利用IPSec VPN技术通过Internet建立连通，实现总部和分部的网络相互访问。 实验16 IPSec VPN配置 设置分部路由器Router0的端口的IP地址； 设置公司分部所在地运营商ISP1的路由器Router1的端口的IP地址 ； 设置公司总部所在地运营商ISP2的路由器Router3的端口的IP地址； 设置公司总部路由器Router2的端口的IP地址。 实验16 IPSec VPN配置 //定义IKE协商策略，10是策略号，可自定义，范围为1～1000，策略号越小优先级越高 FenBu(config)#crypto isakmp policy 10 FenBu(config-isakmp)#encryption 3des //数据采用3des加密 FenBu(config-isakmp)#hash md5 //设置哈希加密算法为md5，默认是sha //配置IKE的验证方法为pre-share，即预共享密钥认证方法 FenBu(config-isakmp)#authentication pre-share 在公司分部路由器Router0中配置IPSec VPN： 实验16 IPSec VPN配置 //设置共享密钥为123456，此密钥要与后面的密钥123456相同，200.1.1.2是对端的IP地址 FenBu(config-isakmp)#crypto isakmp key 123456 address 200.1.1.2 //设置名为“jsnu”的交换集采用的验证和加密算法为esp-3des esp-md5-hmac FenBu(config)#crypto ipsec transform-set jsnu esp-3des esp-md5-hmac //设置加密图名称为bejing，序号10表示优先级，ipsec-isakmp表示此IPSec链接采用IKE自动协商策略 FenBu(config)#crypto map bejing 10 ipsec-isakmp 在公司分部路由器Router0中配置IPSec VPN： 实验16 IPSec VPN配置 FenBu(config-crypto-map)#set peer 200.1.1.2 //指定此VPN链路，即对端的IP地址 FenBu(config-crypto-map)#set transform-set jsnu //设置IPSec传输集的名字为jsnu //设置匹配的地址为101访问列表，对于VPN，此数值需介于100～199之间 FenBu(config-crypto-map)#match address 101 FenBu(config-crypto-map)#exit 在公司分部路由器Router0中配置IPSec VPN： 实验16 IPSec VPN配置 //设置数据加密处理的地址范围 FenBu(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 FenBu(config)#int f0/0 FenBu(config-if)#crypto map bejing //将加密图“bejing”应用于f0/0端口 *Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON 在公司分部路由器Router0中配置IPSec VPN： 实验16 IPSec VPN配置 FenBu(config-if)#no shut FenBu(config-if)#exit FenBu(config)#ip route 0.0.0.0 0.0.0.0 100.1.1.1 //设置此路由器的默认路由 FenBu(config)#exit 在公司分部路由器Router0中配置IPSec VPN： 实验16 IPSec VPN配置 //定义IKE协商策略，范围为1～1000，策略号越小优先级越高 ZongBu(config)#crypto isakmp policy 20 ZongBu(config-isakmp)#encryption