目录
本文为仅用于记录学习过程,如有侵权联系删除
1、构建网络拓扑图
2、命令行配置路由器1的各接口IP
3、配置路由器的2的接口IP
4、手动配置 PC1 PC2
Pc1:
Pc2:
5、 R1和R2配置路由协议(R1和R2间使用RIP协议)
R1:
R2:
6、PC间进行ping操作 分析网络状态 是否保护
可以看到router1发出去的包,只有个IP数据包没有被任何协议包裹保护
------上面应该是网络通了,但是没保护-------------------------
7、R1上配置IPSEC
(第一阶段,公钥用自己姓名的拼音,如你叫吴彦祖就用WYZ当公钥)
第1阶段:isakmp协商。协商使用的加密算法、验证算法、共享密钥等。
Router(config)#crypto isakmp policy 1!定义isakmp协商参数
参数范围1-10000
Router(config-isakmp)#hash md5!指定验证算法
我选择sha验证算法
Router(config-isakmp)#encryption 3des!指定加密算法
我选择des加密算法
Router(config-isakmp)#authentication pre-share!指定验证方式为共享密钥
Router(config-isakmp)#group 5!组号
Router(config-isakmp)#exit
Router(config)#crypto isakmp key 公钥 address 对端地址!指定公钥并设置保护链路
“公钥”是自定义的单词,两端的设备须使用相同的公钥。
公钥设置为LYC 对端210.100.24.2
“对端地址”是链路对端接口的IP地址。
8、 R1上配置IPSEC
(第二阶段策略名,名字随便。如mysy4)
第2阶段:配置IPSec参数。设置保护策略、工作模式、指定保护的数据流等。
Router(config)#crypto ipsec transform-set 策略名 esp-3des esp-sha-hmac!指定策略名mysy4、加密算法、验证算法
策略:mysy4 加密:des 验证:sha
Router(config)#access-list 100 permit ip 源地址和反码 目的地址和反码!设置IPSec保护的流
源地址:192.166.1.0 目的地址:192.166.2.0 访问控制列表号:124
Router(config)#crypto map 地图名 1 ipsec-isakmp!建立地图
地图名:MAP随便起
Router(config-crypto-map)#set peer 对端地址!绑定链路
Router(config-crypto-map)#set transform-set 策略名!绑定策略
Router(config-crypto-map)#match address 100!绑定受保护的流
“策略名”、“地图名”是自定义的单词。
“100”是访问控制列表的表号,“源地址条件”、“目的地址条件”指定需要保护的流的地址格式。(掩码用反码)
9、在R1的接口上应用IPSEC
Router(config)#interface 接口
Router(config-if)#crypto map 地图名!绑定IPSec地图
10、在R2上配置上述IPSEC
Router2:ipsec配置
11、PC间通信,分析IPSec工作过程
在Pc1 ping pc2 一个来回的过程中可以清楚的看到IPSec的工作过程:
解析上图:
首先router1 与router2 互相交换如下IPSec包
内容:iskmp 密钥管理协议
启动器cookie,响应者cookie,版本号,长度,协商加密方式,交换密钥等,此为第一阶段
第二阶段中:
Pc1向router1发出ping包此时数据包未被加密:
下图是router1从pc1接收到的包:
Router1 向router2 转发数据包,经过公网传输,此时数据包已经被router1加密:
下图是router1向公网发送目标为router2的经过加密的数据包,可以看到数据包中已经有了一个esp的头
Router2 从公网接收到 经过router1封装的数据包
然后router2对数据包解封并转发给pc2:
下图是解封装后的数据包,发送给pc2,可以看到esp头已经被router2去掉
接下来pc2给pc1回包过程与上述一样但路径相反
完成了一次ping过程
转载需标明来源