思科IPSEC配置实验

目录

1、构建网络拓扑图

2、命令行配置路由器1的各接口IP

3、配置路由器的2的接口IP

4、手动配置 PC1  PC2

5、 R1和R2配置路由协议(R1和R2间使用RIP协议)

6、PC间进行ping操作  分析网络状态 是否保护

 7、R1上配置IPSEC

8、 R1上配置IPSEC

9、在R1的接口上应用IPSEC

10、在R2上配置上述IPSEC

11、PC间通信,分析IPSec工作过程


本文为仅用于记录学习过程,如有侵权联系删除

1、构建网络拓扑图

2、命令行配置路由器1的各接口IP

3、配置路由器的2的接口IP

4、手动配置 PC1  PC2

Pc1:

Pc2:

5、 R1和R2配置路由协议(R1和R2间使用RIP协议)

R1:

R2:

6、PC间进行ping操作  分析网络状态 是否保护

可以看到router1发出去的包,只有个IP数据包没有被任何协议包裹保护

------上面应该是网络通了,但是没保护-------------------------

 7、R1上配置IPSEC

(第一阶段,公钥用自己姓名的拼音,如你叫吴彦祖就用WYZ当公钥)

第1阶段:isakmp协商。协商使用的加密算法、验证算法、共享密钥等。

Router(config)#crypto isakmp policy 1!定义isakmp协商参数

参数范围1-10000

Router(config-isakmp)#hash md5!指定验证算法

我选择sha验证算法

Router(config-isakmp)#encryption 3des!指定加密算法

我选择des加密算法

Router(config-isakmp)#authentication pre-share!指定验证方式为共享密钥

Router(config-isakmp)#group 5!组号     

Router(config-isakmp)#exit

Router(config)#crypto isakmp key 公钥 address 对端地址!指定公钥并设置保护链路

公钥”是自定义的单词,两端的设备须使用相同的公钥。

公钥设置为LYC 对端210.100.24.2

“对端地址”是链路对端接口的IP地址。

8、 R1上配置IPSEC

(第二阶段策略名,名字随便。如mysy4)

第2阶段:配置IPSec参数。设置保护策略、工作模式、指定保护的数据流等。

Router(config)#crypto ipsec transform-set 策略名 esp-3des esp-sha-hmac!指定策略名mysy4、加密算法、验证算法

策略:mysy4 加密:des 验证:sha

Router(config)#access-list 100 permit ip 源地址和反码 目的地址和反码!设置IPSec保护的流

源地址:192.166.1.0  目的地址:192.166.2.0   访问控制列表号:124

Router(config)#crypto map 地图名 1 ipsec-isakmp!建立地图

地图名:MAP随便起

Router(config-crypto-map)#set peer 对端地址!绑定链路

Router(config-crypto-map)#set transform-set 策略名!绑定策略

Router(config-crypto-map)#match address 100!绑定受保护的流

策略名”、“地图名”是自定义的单词。

“100”是访问控制列表的表号,“源地址条件”、“目的地址条件”指定需要保护的流的地址格式。(掩码用反码)

9、在R1的接口上应用IPSEC

Router(config)#interface 接口

Router(config-if)#crypto map 地图名!绑定IPSec地图

10、在R2上配置上述IPSEC

Router2:ipsec配置

11、PC间通信,分析IPSec工作过程

在Pc1 ping pc2 一个来回的过程中可以清楚的看到IPSec的工作过程:

解析上图:

首先router1 与router2 互相交换如下IPSec包

内容:iskmp 密钥管理协议

启动器cookie,响应者cookie,版本号,长度,协商加密方式,交换密钥等,此为第一阶段

第二阶段中:

Pc1向router1发出ping包此时数据包未被加密:

下图是router1从pc1接收到的包:

Router1 向router2 转发数据包,经过公网传输,此时数据包已经被router1加密:

下图是router1向公网发送目标为router2的经过加密的数据包,可以看到数据包中已经有了一个esp的头

Router2 从公网接收到 经过router1封装的数据包

然后router2对数据包解封并转发给pc2:

下图是解封装后的数据包,发送给pc2,可以看到esp头已经被router2去掉

接下来pc2给pc1回包过程与上述一样但路径相反

完成了一次ping过程

转载需标明来源

  • 8
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值