实验拓扑

实验目标:

1.不配置中间的三个路由器的路由实现router0和router2的vpn隧道

2.PC0能够ping通PC1

实验IP预定:

PC0 10.1.1.1/24

PC1 20.1.1.1/24

Router0 f0/0 10.1.1.254/24 f0/1 100.1.1.2

Router2 f0/0 200.1.1.1/24 f0/1 20.1.1.254

实验解析:

第一阶段 :管理阶段 通信双方设备通过非对称加密算法加密对称加密算法所使用的对称密钥

第二阶段:数据连接  通过对称加密算法加密实际所要传输的私网数据

第三阶段:创建MAP映射表 映射到公网的口

三个要自己自定义的值:

  第一阶段: 预共享密钥 :crypto isakmp key 自定义(预共享密钥) address 对方的公网ip

  第二阶段: 传输模式名 : crypto ipsec transform-set 自定义(传输模式名)  加密算法 加密算法 #ipsec交换集

  第三阶段: MAP映射表名 : crypto map 自定义(map名)  1(阶段1的策略数字号) ipsec-isakmp

实验开始

对router0的操作

#配置接口IP 并开启

 1 Router(config)#int f0/0

 2 Router(config-if)#ip add 10.1.1.254 255.255.255.0

 3 Router(config-if)#no sh

 4 Router(config-if)#

 5 %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

 6

 7 %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

 8

 9 Router(config-if)#int f0/1

10 Router(config-if)#ip add 100.1.1.1 255.255.255.0

11 Router(config-if)#no sh

12 Router(config-if)#

13 %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up

#开始配置ipsec

Router(config)#crypto isakmp policy 1  #配置ike的策略集 策略序号为1,数值越小 优先级越高

Router(config-isakmp)#encryption ?    

3des Three key triple DES

aes AES - Advanced Encryption Standard

des DES - Data Encryption Standard (56 bit keys).

Router(config-isakmp)#encryption 3des  #配置加密算法

Router(config-isakmp)#hash sha      #hash命令验证过程 摘要算法配置

Router(config-isakmp)#group 2       #采用DH算法的强度为2 密钥交换算法

Router(config-isakmp)#authentication pre-share #预共享密钥

Router(config-isakmp)#exit

Router(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 20.1.1.0 0.0.0.255 #定义acl策略,匹配流量

Router(config)#crypto isakmp key lisen address 200.1.1.1 #配置预共享密钥 lisen可以自定义 address后面是对方公网ip

Router(config)#crypto ipsec transform-set miller esp-des esp-sha-hmac  #配置ipsec变化集 miller是自定义

Router(config)#crypto map testmap 1 ipsec-isakmp    #配置映射表 testmap是自定义的 1是匹配阶段一的策略序列号1

% NOTE: This new crypto map will remain disabled until a peer

and a valid access list have been configured.

Router(config-crypto-map)#match address 100    #匹配acl的策略表 麻满足这个acl的匹配规则才可以放行

Router(config-crypto-map)#set peer 200.1.1.1    #设置对端端口 对方公网ip端口

Router(config-crypto-map)#set transform-set miller #设置ipsec变化集是miller

Router(config-crypto-map)#exit

Router(config)#int f0/1    #进入到我方公网的接口

Router(config-if)#crypto map testmap  #映射testmap表 开启监听

*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

Router(config-if)#

解决内部网络访问互联网的问题

R3(config)#access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
R3(config)#access-list 102 permit ip any any
R3(config)#ip nat inside source list 102 int f0/0 overload  ##采用端口复用的PAT方式,解决内网访问互联网的问题
R3(config)#int f0/0
R3(config-if)#ip nat outside
R3(config-if)#in f1/0
R3(config-if)#ip nat inside

由于当有NAT和虚拟专用网流量时,优先匹配NAT,后匹配虚拟专用网,所以要在上面做PAT时,拒绝虚拟专用网的流量

对router1的操作

#配置ip并开启 
1 Router(config)#int f0/0

 2 Router(config-if)#ip add 100.1.1.2 255.255.255.0

 3 Router(config-if)#no sh

 4

 5 Router(config-if)#

 6 %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

 7

 8 %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

 9

10 Router(config-if)#int f0/1

11 Router(config-if)#ip add 200.1.1.2 255.255.255.0

12 Router(config-if)#no sh

13

14 Router(config-if)#

15 %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up

16

17 Router(config-if)#

当看到这里即可不看 下面的只是重复上面的操作 就是换了一下对端的ip

对router2的操作

 1 Router>en

 2 Router#conf t

 3 Enter configuration commands, one per line.  End with CNTL/Z.

 4 Router(config)#int f0/0

 5 Router(config-if)#ip add 200.1.1.1 255.255.255.0

 6 Router(config-if)#no sh

 7

 8 Router(config-if)#

 9 %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

10

11 %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

12

13 Router(config-if)#int f0/1

14 Router(config-if)#ip add 20.1.1.254 255.255.255.0

15 Router(config-if)#nosh

16                     ^

17 % Invalid input detected at '^' marker.

18

19 Router(config-if)#no sh

20

21 Router(config-if)#

22 %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up

23

24 %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up

25

26 Router(config-if)#

#配置策略集

Router(config)#crypto isakmp policy 1

Router(config-isakmp)#encryption 3des

Router(config-isakmp)#hash sha

Router(config-isakmp)#group 2

Router(config-isakmp)#authentication pre-share

Router(config-isakmp)#exit

Router(config)#crypto isakmp key lisen address 100.1.1.1

Router(config)#access-list 100 permit ip 20.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255

Router(config)#crypto ipsec transform-set miller esp-des esp-sha-hmac

Router(config)#crypto map testmap 1 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer

and a valid access list have been configured.

Router(config-crypto-map)#match address 100.1.1.1

Router(config-crypto-map)#match address 100

Router(config-crypto-map)#set peer 100.1.1.1

Router(config-crypto-map)#set transform-set miller

Router(config-crypto-map)#exit

Router(config)#int f0/0

Router(config-if)#crypto map testmap

*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

实验测试

PC0pingPC1

成功

思科IPsecVPN建立的更多相关文章

  1. IPSecVPN介绍 & (Cisco Packet Tracer)IPSecVPN实验演示

    一.基础知识 VPN(Virtual Private Network)虚拟专有网络,即虚拟专网.VPN可以实现在不安全的网络上,安全的传输数据,好像专网!VPN只是一个技术,使用PKI技术,来保证数据 ...

  2. 设置思科设备console密码、enable密码、vty登录密码

    思科设备各级密码:1)  console密码 SW2(config)#line console 0SW2(config-line)#password ciscoSW2(config-line)#log ...

  3. BGP华为、思科选路规则

    选路规则 华为BGP选路规则 思科BGP选路规则 第0条 下一跳是否可达,如果不可达则不参与选路 BGP 向IBGP对等体发布import引入的IGP路由时, 将下一跳属性改为自身的接口地址,而非IG ...

  4. 思科恶意加密TLS流检测论文记录——由于样本不均衡,其实做得并不好,神马99.9的准确率都是浮云啊,之所以思科使用DNS和http一个重要假设是DGA和HTTP C&C(正常http会有图片等)。一开始思科使用的逻辑回归,后面17年文章是随机森林。

    论文记录:Identifying Encrypted Malware Traffic with Contextual Flow Data from:https://songcoming.github. ...

  5. 【原创】思科和锐捷组建多VLAN交换网络(隧道模式Trunk)

    组建简单交换网络设计与实施 [利用思科仿真与锐捷实践] 本文目录 第一部分 预备知识 第二部分 设计与仿真 需求分析 整体设计 PT仿真 第三部分 施工部署 console配置 连通测试 第一部分 预 ...

  6. 附录A 思科互联网络操作系统(IOS)

    思科互联网络操作系统(IOS) 要点 实现IP编址方案和IP服务,以满足中型企业分支机构网络的网络需求 口在路由器上配置和验证 DHCP和DNS 以及排除其故障(包括 CLI/SDM ). 口配置和验 ...

  7. 【第二章】Zabbix3.4监控SQLServer数据库和H3C交换机思科Cisco防火墙交换机教程笔记

    监控SQLServer数据库 SSMS执行相关SQL SQL模板命名规则 Zabbix客户端导入模板 添加SQLServer监控图形 SQLServer服务器关联模板 监控思科Cisco防火墙交换机 ...

  8. 思科、华为、H3C常用命令对比大全

    思科.华为.H3C这些网络设备的命令还是挺多的,不过我们一般用的路由交换机设备都是最简单的了,先学基本命令,再学其他功能命令.路由命令是最基本的命令了. 思科.华为.H3C常用命令对比大全    CI ...

  9. IPSec无法建立?注意第一阶段hash sha !

    该篇注意记录一下,有些情况下,我们配置了IPSec ,但是就是无法建立,发现连第一阶段都无法建立起来. 1.检查配置无问题 2.开启debug crypto isakmp发现有IKE的重传 3.sho ...

  10. [原] 利用 OVS 建立 VxLAN 虚拟网络实验

    OVS 配置 VxLAN HOST A ------------------------------------------ | zh-veth0(10.1.1.1) VM A | | ---|--- ...

随机推荐

  1. 单兵 Web 快速开发框架!

    Jmix 是低代码? 自从 Jmix 2018 年在中国推广以来(那时叫 CUBA 平台),很多开发者会在使用之前询问我们,Jmix 是不是低代码,扩展性怎么样? 低代码应用程序平台(LCAP)是当今 ...

  2. 【6】java之数组的定义和使用

    一.数组的定义与使用 1.1 数组的基本概念 数组指的就是一组相关变量的集合. 数组的定义: 声明并开辟数组 数据类型 数组名称 [] = new 数据类型[长度]: 数据类型 [] 数组名称 = n ...

  3. No.2.5

    移动适配 rem:目前多数企业在用的解决方案 rem:(能够使用rem单位设置网页元素的尺寸) 网页效果:屏幕宽度不同,网页元素尺寸不同(等比缩放) px单位或百分比布局可以实现吗? px单位是绝对单 ...

  4. 快速构建用户xlwings环境

    一.安装python python-3.8.3-amd64.exe 二.准备文件requirements.txt 内容如下 安装失败需要切换国内镜像源 numpy==1.22.1 openpyxl== ...

  5. javascript中的二进制运算符

    javascript的二进制运算符用于直接对二进制位进行计算,好处是速度快,缺点是不直观. 位运算符只对整数起作用,如果一个运算子不是整数,则会转换成整数后再执行;我们都知道javascript的数值 ...

  6. Bug的分类及优先级划分

    P0等级(功能无法正常使用.Block测试流程) 严重花屏 内存泄漏 用户数据丢失或破坏 系统崩溃/死机/冻结 模块无法启动或异常退出 严重的数值计算错误 功能设计与需求严重不符 其它导致无法测试的错 ...

  7. linux执行sh脚本报错:$’\r’: 未找到命令的解决

    原因: 命令直接从windows 复制过来导致的 解决:我是unbutu系统 安装dos2unix apt-get install dos2unix 执行dos2unix命令转换文件格式 dos2un ...

  8. 西湖论剑2023-mp3[wp]

    一 题目描述 二 解题步骤 1.分析文件 (1)放入Audacity中查看频谱信息无果 (2)010editor中查看文件结构 文件尾部存在PNG文件尾,搜索png文件头 将该png文件复制提取出来, ...

  9. spring boot No qualifying bean of type 'org.apache.catalina.core.ApplicationContext' available

    发现创建的ApplictionContext对象还没有containsBean的方法, 找了很久没搞定,后面发现原来是包导入错了. 应该导入 import org.springframework.co ...

  10. storcli64简述

    一.查询raid卡.raid组.物理硬盘信息 Controller_id:硬盘所在的raid卡的id,可以将该参数设置为all,表示查询该工具可管理的所有控制器的id Enclosure_id:硬盘所 ...