实验拓扑

实验目标:

1.不配置中间的三个路由器的路由实现router0和router2的vpn隧道

2.PC0能够ping通PC1

实验IP预定:

PC0 10.1.1.1/24

PC1 20.1.1.1/24

Router0 f0/0 10.1.1.254/24 f0/1 100.1.1.2

Router2 f0/0 200.1.1.1/24 f0/1 20.1.1.254

实验解析:

第一阶段 :管理阶段 通信双方设备通过非对称加密算法加密对称加密算法所使用的对称密钥

第二阶段:数据连接  通过对称加密算法加密实际所要传输的私网数据

第三阶段:创建MAP映射表 映射到公网的口

三个要自己自定义的值:

  第一阶段: 预共享密钥 :crypto isakmp key 自定义(预共享密钥) address 对方的公网ip

  第二阶段: 传输模式名 : crypto ipsec transform-set 自定义(传输模式名)  加密算法 加密算法 #ipsec交换集

  第三阶段: MAP映射表名 : crypto map 自定义(map名)  1(阶段1的策略数字号) ipsec-isakmp

实验开始

对router0的操作

#配置接口IP 并开启

 1 Router(config)#int f0/0

 2 Router(config-if)#ip add 10.1.1.254 255.255.255.0

 3 Router(config-if)#no sh

 4 Router(config-if)#

 5 %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

 6

 7 %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

 8

 9 Router(config-if)#int f0/1

10 Router(config-if)#ip add 100.1.1.1 255.255.255.0

11 Router(config-if)#no sh

12 Router(config-if)#

13 %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up

#开始配置ipsec

Router(config)#crypto isakmp policy 1  #配置ike的策略集 策略序号为1,数值越小 优先级越高

Router(config-isakmp)#encryption ?    

3des Three key triple DES

aes AES - Advanced Encryption Standard

des DES - Data Encryption Standard (56 bit keys).

Router(config-isakmp)#encryption 3des  #配置加密算法

Router(config-isakmp)#hash sha      #hash命令验证过程 摘要算法配置

Router(config-isakmp)#group 2       #采用DH算法的强度为2 密钥交换算法

Router(config-isakmp)#authentication pre-share #预共享密钥

Router(config-isakmp)#exit

Router(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 20.1.1.0 0.0.0.255 #定义acl策略,匹配流量

Router(config)#crypto isakmp key lisen address 200.1.1.1 #配置预共享密钥 lisen可以自定义 address后面是对方公网ip

Router(config)#crypto ipsec transform-set miller esp-des esp-sha-hmac  #配置ipsec变化集 miller是自定义

Router(config)#crypto map testmap 1 ipsec-isakmp    #配置映射表 testmap是自定义的 1是匹配阶段一的策略序列号1

% NOTE: This new crypto map will remain disabled until a peer

and a valid access list have been configured.

Router(config-crypto-map)#match address 100    #匹配acl的策略表 麻满足这个acl的匹配规则才可以放行

Router(config-crypto-map)#set peer 200.1.1.1    #设置对端端口 对方公网ip端口

Router(config-crypto-map)#set transform-set miller #设置ipsec变化集是miller

Router(config-crypto-map)#exit

Router(config)#int f0/1    #进入到我方公网的接口

Router(config-if)#crypto map testmap  #映射testmap表 开启监听

*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

Router(config-if)#

解决内部网络访问互联网的问题

R3(config)#access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
R3(config)#access-list 102 permit ip any any
R3(config)#ip nat inside source list 102 int f0/0 overload  ##采用端口复用的PAT方式,解决内网访问互联网的问题
R3(config)#int f0/0
R3(config-if)#ip nat outside
R3(config-if)#in f1/0
R3(config-if)#ip nat inside

由于当有NAT和虚拟专用网流量时,优先匹配NAT,后匹配虚拟专用网,所以要在上面做PAT时,拒绝虚拟专用网的流量

对router1的操作

#配置ip并开启 
1 Router(config)#int f0/0

 2 Router(config-if)#ip add 100.1.1.2 255.255.255.0

 3 Router(config-if)#no sh

 4

 5 Router(config-if)#

 6 %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

 7

 8 %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

 9

10 Router(config-if)#int f0/1

11 Router(config-if)#ip add 200.1.1.2 255.255.255.0

12 Router(config-if)#no sh

13

14 Router(config-if)#

15 %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up

16

17 Router(config-if)#

当看到这里即可不看 下面的只是重复上面的操作 就是换了一下对端的ip

对router2的操作

 1 Router>en

 2 Router#conf t

 3 Enter configuration commands, one per line.  End with CNTL/Z.

 4 Router(config)#int f0/0

 5 Router(config-if)#ip add 200.1.1.1 255.255.255.0

 6 Router(config-if)#no sh

 7

 8 Router(config-if)#

 9 %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

10

11 %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

12

13 Router(config-if)#int f0/1

14 Router(config-if)#ip add 20.1.1.254 255.255.255.0

15 Router(config-if)#nosh

16                     ^

17 % Invalid input detected at '^' marker.

18

19 Router(config-if)#no sh

20

21 Router(config-if)#

22 %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up

23

24 %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up

25

26 Router(config-if)#

#配置策略集

Router(config)#crypto isakmp policy 1

Router(config-isakmp)#encryption 3des

Router(config-isakmp)#hash sha

Router(config-isakmp)#group 2

Router(config-isakmp)#authentication pre-share

Router(config-isakmp)#exit

Router(config)#crypto isakmp key lisen address 100.1.1.1

Router(config)#access-list 100 permit ip 20.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255

Router(config)#crypto ipsec transform-set miller esp-des esp-sha-hmac

Router(config)#crypto map testmap 1 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer

and a valid access list have been configured.

Router(config-crypto-map)#match address 100.1.1.1

Router(config-crypto-map)#match address 100

Router(config-crypto-map)#set peer 100.1.1.1

Router(config-crypto-map)#set transform-set miller

Router(config-crypto-map)#exit

Router(config)#int f0/0

Router(config-if)#crypto map testmap

*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

实验测试

PC0pingPC1

成功

思科IPsecVPN建立的更多相关文章

  1. IPSecVPN介绍 & (Cisco Packet Tracer)IPSecVPN实验演示

    一.基础知识 VPN(Virtual Private Network)虚拟专有网络,即虚拟专网.VPN可以实现在不安全的网络上,安全的传输数据,好像专网!VPN只是一个技术,使用PKI技术,来保证数据 ...

  2. 设置思科设备console密码、enable密码、vty登录密码

    思科设备各级密码:1)  console密码 SW2(config)#line console 0SW2(config-line)#password ciscoSW2(config-line)#log ...

  3. BGP华为、思科选路规则

    选路规则 华为BGP选路规则 思科BGP选路规则 第0条 下一跳是否可达,如果不可达则不参与选路 BGP 向IBGP对等体发布import引入的IGP路由时, 将下一跳属性改为自身的接口地址,而非IG ...

  4. 思科恶意加密TLS流检测论文记录——由于样本不均衡,其实做得并不好,神马99.9的准确率都是浮云啊,之所以思科使用DNS和http一个重要假设是DGA和HTTP C&C(正常http会有图片等)。一开始思科使用的逻辑回归,后面17年文章是随机森林。

    论文记录:Identifying Encrypted Malware Traffic with Contextual Flow Data from:https://songcoming.github. ...

  5. 【原创】思科和锐捷组建多VLAN交换网络(隧道模式Trunk)

    组建简单交换网络设计与实施 [利用思科仿真与锐捷实践] 本文目录 第一部分 预备知识 第二部分 设计与仿真 需求分析 整体设计 PT仿真 第三部分 施工部署 console配置 连通测试 第一部分 预 ...

  6. 附录A 思科互联网络操作系统(IOS)

    思科互联网络操作系统(IOS) 要点 实现IP编址方案和IP服务,以满足中型企业分支机构网络的网络需求 口在路由器上配置和验证 DHCP和DNS 以及排除其故障(包括 CLI/SDM ). 口配置和验 ...

  7. 【第二章】Zabbix3.4监控SQLServer数据库和H3C交换机思科Cisco防火墙交换机教程笔记

    监控SQLServer数据库 SSMS执行相关SQL SQL模板命名规则 Zabbix客户端导入模板 添加SQLServer监控图形 SQLServer服务器关联模板 监控思科Cisco防火墙交换机 ...

  8. 思科、华为、H3C常用命令对比大全

    思科.华为.H3C这些网络设备的命令还是挺多的,不过我们一般用的路由交换机设备都是最简单的了,先学基本命令,再学其他功能命令.路由命令是最基本的命令了. 思科.华为.H3C常用命令对比大全    CI ...

  9. IPSec无法建立?注意第一阶段hash sha !

    该篇注意记录一下,有些情况下,我们配置了IPSec ,但是就是无法建立,发现连第一阶段都无法建立起来. 1.检查配置无问题 2.开启debug crypto isakmp发现有IKE的重传 3.sho ...

  10. [原] 利用 OVS 建立 VxLAN 虚拟网络实验

    OVS 配置 VxLAN HOST A ------------------------------------------ | zh-veth0(10.1.1.1) VM A | | ---|--- ...

随机推荐

  1. pat 乙级1024 科学计数法关于stl中size()的一些思考即测试点六,无符号整数问题

    来,先看题目:1024 科学计数法 分数 20 作者 HOU, Qiming 单位 浙江大学 科学计数法是科学家用来表示很大或很小的数字的一种方便的方法,其满足正则表达式 [+-][1-9].[0-9 ...

  2. 工业仿真:Chai 3D之点云技术

    推荐:将 NSDT场景编辑器 加入你的3D开发工具链. 介绍   点云是三维坐标系中的一组数据点.在 CHAI3D 中,这些点由 X.Y 和 Z 坐标定义,通常用于表示对象的外表面.   点云可以由3 ...

  3. AttributeError: module 'openai' has no attribute 'ChatCompletion'的解决办法

    原因 openai库版本过旧 解决办法(二选一) pip install -U openai 下载安装包放入你的项目根目录下, 改名格式zip为whl(即:openai-0.27.0-py3-none ...

  4. ES6判断对象是否为空

    1.ES6判断对象是否为空{} let obj = {} if(Object.keys(obj).length == 0){ console.log("对象是空的") }else{ ...

  5. mysql的数据操作

    INSERT [INTO] 表名 [(字段名1,...)] {VALUES | VALUE} ({expr | DEFAULT},...),(...),... 说明:主键列是自动增长,但是在全列插入时 ...

  6. list.ftl

    1 <!DOCTYPE html> 2 <html> 3 <head> 4 <meta charset="utf-8"> 5 < ...

  7. JS学习-Web Workers API接口

    Web Workers API接口 通过使用Web Workers,Web应用程序可以在独立于主线程的后台线程中,运行一个脚本操作.这样做的好处是可以在独立线程中执行费时的处理任务,从而允许主线程(通 ...

  8. sql server 最近执行语句统计查询分析

    查询语句: select * from ( SELECT [RowNumber],DATEDIFF(second, StartTime, isnull(EndTime ,StartTime)) 执行时 ...

  9. xxl-job调度任务简单使用

    简介 XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速.学习简单.轻量级.易扩展.现已开放源代码并接入多家公司线上产品线,开箱即用. https://www.cnblogs.com/x ...

  10. 快速替换jar包class文件的方法

    stetp1:jar -tvf *.jar | grep *.class 查找jar包中,class文件所在的具体路径stetp2:jar -xvf *.jar */*/*/*.class 当前目录下 ...