在windows XP运行7200路由器仿真器 一、安装步骤 1、下载Dynamips for Windows Setup 最新版并安装 地址:http://sourceforge.net/project/showfiles.php?group_id=160 317 2、下载Winpcap并安装(目前版本4.0 Beta 1) 地址:http://www.winpcap.org/install/default.htm 或:http://download.pchome.net/multimedia/onlineplayer/11474.htm l 3、下载7200 IOS(12.3) http://www1.one-tom.com/TEMP/C7200.rar 解压后将C7200.BIN拷贝至安装目录images目录,如C:/Program Files/Dynamips/images/下。 再到New York这个路由器上面进行相同的配置,两个路由器之间就会建立一个VPN连接。下面我用扩展拼进行测试: Miami#ping(Miami端路由器已经配置完成,但是New York端路由器并没有完成配置,因此VPN没有建立起来。) Protocol [ip]: Target IP address: 10.10.1.1 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 10.10.4.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.10.1.1, timeout is 2 seconds: Packet sent with a source address of 10.10.4.1 ..... Success rate is 0 percent (0/5) New York端路由器配置完成后先用这个命令查看加密流量,因为还没有拼对端,所以没有流量,我直接拼Miami的外网接口地址192.168.4.1,再次查看加密流量,和之前一样并没有加密流量: NewYork#show crypto ipsec sa
interface: Ethernet0/0 Crypto map tag: Miami, local addr. 192.168.1.1
protected vrf: local ident (addr/mask/prot/port): (10.10.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.10.4.0/255.255.255.0/0/0) current_peer: 192.168.4.1:500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0
local crypto endpt.: 192.168.1.1, remote crypto endpt.: 192.168.4.1 path mtu 1500, ip mtu 1500, ip mtu idb Ethernet2/0 current outbound spi: 0 inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: New York端路由器开始用扩展拼进行测试,直接拼10.10.4.1的话,还是看不到加密流量的,要带上源地址进行测试,这样才能激活VPN连接: NewYork#ping Protocol [ip]: Target IP address: 10.10.4.1 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 10.10.1.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.10.4.1, timeout is 2 seconds: Packet sent with a source address of 10.10.1.1 ...!!(前面会有三个...,是因为vpn建立连接的过程中要协商isakmp和ipsec的参数,第二次再拼就会全通,有兴趣的朋友自己试试就知道了) Success rate is 40 percent (2/5), round-trip min/avg/max = 576/596/616 ms NewYork#show crypto ipsec sa
interface: FastEthernet0/0 Crypto map tag: Miami, local addr. 192.168.1.1
protected vrf: local ident (addr/mask/prot/port): (10.10.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.10.4.0/255.255.255.0/0/0) current_peer: 192.168.4.1:500 PERMIT, flags={origin_is_acl,} #pkts encaps: 2, #pkts encrypt: 2, #pkts digest 2 #pkts decaps: 2, #pkts decrypt: 2, #pkts verify 2 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 3, #recv errors 0
local crypto endpt.: 192.168.1.1, remote crypto endpt.: 192.168.4.1 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0 current outbound spi: 48776547
inbound esp sas: spi: 0x8B31B8CD(2335291597) transform: esp-256-aes esp-sha-hmac , in use settings ={Tunnel, } slot: 0, conn id: 2000, flow_id: 1, crypto map: Miami sa timing: remaining key lifetime (k/sec): (4399143/1681) IV size: 16 bytes replay detection support: Y inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x48776547(1215784263) transform: esp-256-aes esp-sha-hmac , in use settings ={Tunnel, } slot: 0, conn id: 2001, flow_id: 2, crypto map: Miami sa timing: remaining key lifetime (k/sec): (4399143/1679) IV size: 16 bytes replay detection support: Y outbound ah sas: outbound pcp sas:
frame-relay switching ! interface Serial1/0 no ip address encapsulation frame-relay clockrate 64000 frame-relay intf-type dce frame-relay route 102 interface Serial1/1 201 frame-relay route 103 interface Serial1/2 301 ! interface Serial1/1 no ip address encapsulation frame-relay clockrate 64000 frame-relay intf-type dce frame-relay route 201 interface Serial1/0 102 frame-relay route 203 interface Serial1/2 302 ! interface Serial1/2 no ip address encapsulation frame-relay clockrate 64000 frame-relay intf-type dce frame-relay route 301 interface Serial1/0 103 frame-relay route 302 interface Serial1/1 203 二、运行步骤 1 、下载等级一、二配置文件itaa01.net,itaa02.net,解压放置于新建的独立的一个目录即可(因运行会自动产生 很多文 件),该目录和安装目录需在同一个分区磁盘内(如C:盘),建议放2个文件的快捷方式到桌面即可。 下载路径:http://www1.one-tom.com/TEMP/itaalab.rar2、运行桌面/程序快捷方式:Dynamips Server(该窗口不可关闭)3、根据需要选择以下2种方式之一种: A、双击运行等级一的itaa01.net,即启动等级一实验台; B、双击运行等级二的itaa01.net,即启动等级二实验台; 4、启动CRT,telnet 127.0.0.1 2001 (注意端口不采用默认23,而是改为2001,R2为2002,R3为2003),依次类推启动路由器。 到这一步已经可以做ITAA等级一、二的路由实验。初学者对以下问题可暂时无视。 三、其他常见问题 1、是否可以换其他的7200 IOS 大部分7200 12.2之后的IOS都支持,可自行下载。在.net文件里改对应路径或者文件名(用记事本打开.net文件编辑)。 2、如何更改网络拓扑连接及启用更多的路由器。 通过修改.net文件实现,用记事本打开.net文件编辑。具体语法参考安装目录下docs目录的说明。 3、如果没有在Cisco下载IOS的权限如何获得IOS: 可在各大FTP搜索引擎查找,或者用以下工具IOS hunter: http://www.sharewareconnection.com/ioshunter.htm 4、电脑可以运行仿真多少台7200 理论上无限,根据实际CPU运算能力及内存而定,建议运行时打开任务管理器,查看CPU利用率,一般而言运行5台需要P3-80 0及512MB内存。 5、可否仿真Cisco的CCIE认证环境 完全可行,用1台电脑+交换机(3550)可仿真出来。该软件可以虚拟做出Frame-switch,并且可以驱动物理网卡和3 550交换机连接则已经可以仿真出考试环境。如果完全用于测试路由部分内容(该认证交换部分配置很少,如划分VLAN可单独练习 ),则可排除交换机的使用。 6、能否在windows 2000下安装使用 可以,在http://www.ipflow.utc.fr/blog/下载0.2.6-RC2 binaries for Windows XP and 2000文件,解压后将dynamips-w2000.exe改名为dynamips.exe覆盖安装目录下的同名文件。 7、其他资源 模拟器作者Blog:http://www.ipflow.utc.fr/blog/ Dyangen页面:http://dyna-gen.sourceforge.net/index.html 论坛:http://7200emu.hacki.at/index.php Telnet程序:大小只有300多KB,不需要安装 Putty 2006-09-04_122641_putty.rar
1、本模拟器分为两个版本:winxp版和win2k版,请用户按照自己的系统选择相应的.bat文件。(win2003视同winxp) 本文件夹中的2k_r1.bat、2k_r2.bat、2k_r3.bat、2k_r4.bat为win2k系统使用。 本文件夹中的xp_r1.bat、xp_r2.bat、xp_r3.bat、xp_r4.bat为winxp系统使用。
2、使用前,请先安装winpcap_3_1.exe、SecureCRT。
3、依次双击四个.bat文件即可启动四台Cisco 7200路由器,注意:请不要关闭此操作所打开的命令行窗口。 在SecureCRT中新建四个telnet连接,连接的地址分别为: 地址:127.0.0.1 端口:2001 可以连接到r1的console口; 地址:127.0.0.1 端口:2002 可以连接到r2的console口; 地址:127.0.0.1 端口:2003 可以连接到r3的console口; 地址:127.0.0.1 端口:2004 可以连接到r4的console口。
4、本模拟器的r4仅用于模拟帧中继交换机,帧中继交换机的配置如下所示: 1.配置transform sets 和 SA参数. 2.配置IPsec SA lifetimes. 3.配置crypto acls. 4.配置crypto maps. 5.在接口上应用crypto map.
1.配置transform sets 和 SA参数
IPsec SA用transform sets来定义加密和哈希算法。transform set用下面这个命令来配置: Miami#configure terminal Miami(config)#crypto ipsec transform-set 20 esp-aes 256 esp-sha-hmac
2.配置IPsec SA lifetimes
在第二步里面IKS SA已经定义了lifetime,IPsec SA也需要定义lifetime。之所以要定义lifetime,是在一定的时间内加密会被破解。改变lifetime,可以防止黑客破解加密而获得关键信息: Miami#configure terminal Miami(config)#crypto ipsec security-association lifetime seconds 1800
3.配置Crypto Acls
Crypto ACL定义路由器路由器感兴趣的流量,下面这个ACL 105的意思就是Miami路由器的10.10.4.0/24网段去往New York的10.10.1.0/24网段的流量将会被加密。 Miami#configure terminal Miami(config)#access-list 105 permit ip 10.10.4.0 0.0.0.255 10.10.1.0 0.0.0.255
对端路由器上面配置正好相反,这是很关键的一步,ACL不能是标准的ACL,必须是扩展的ACL,号码可以自己设,这里保持一致主要是方便实验。记住: NewYork#configure terminal NewYork(config)#access-list 105 permit ip 10.10.1.0 0.0.0.255 10.10.4.0 0.0.0.255
4.配置Crypto Maps
Crypto Maps定义下面这些选项: Which crypto ACL addresses the connection The IKE and IPsec peer addresses Sets Perfect Forward Secrecy Defines the applicable transform set Sets the IPsec SA lifetime
Miami#configure terminal Miami(config)#crypto map NewYork 120 ipsec-isakmp (map一般设为对端路由器的名字,号码可以自行设置) Miami(config-crypto-map)#match address 105 (和peer 192.168.1.1结合起来用,设置需要加密的流量) Miami(config-crypto-map)#set peer 192.168.1.1 Miami(config-crypto-map)#set pfs group5 Miami(config-crypto-map)#set transform-set 20 (调用第1小步里面设置好的transform-set 20) Miami(config-crypto-map)#set security-association lifetime seconds 1800
5.在接口上应用crypto map
crypto map应用到接口上(要建立VPN的接口) Miami#configure terminal Miami(config)#interface fa0/1 Miami(config-if)#crypto map NewYork
!================================================================== 5、试验机器要求: CPU:1.5G以上 mem:512M以上 操作系统:win 2k、win xp、win 2003
6、由于dynamips的CPU使用率高,因此,建议不要使用dynamips模拟过多的路由器。
7、请注意该模拟器作者blog上的更新,地址为:http://www.ipflow.utc.fr/blog 。
8、如需获得更多功能,请自行阅读dynamips官方文档。
下载地址:http://ciscobbs.njut.edu.cn/bbs/dnld/ccnasimv3.zip 下载地址:http://lab.njut.edu.cn/bbs/dnld/ccnasimv3.zip
原地址:http://ciscobbs.njut.edu.cn/bbs/ ... &extra=page%3D1
1、本模拟器分为两个版本:winxp版和win2k版,请用户按照自己的系统选择相应的.bat文件。(win2003视同winxp) 本文件夹中的2k_r1.bat、2k_r2.bat、2k_r3.bat、2k_r4.bat为win2k系统使用。 本文件夹中的xp_r1.bat、xp_r2.bat、xp_r3.bat、xp_r4.bat为winxp系统使用。
2、使用前,请先安装winpcap_3_1.exe、SecureCRT。
3、依次双击四个.bat文件即可启动四台Cisco 7200路由器,注意:请不要关闭此操作所打开的命令行窗口。 在SecureCRT中新建四个telnet连接,连接的地址分别为: 地址:127.0.0.1 端口:2001 可以连接到r1的console口; 地址:127.0.0.1 端口:2002 可以连接到r2的console口; 地址:127.0.0.1 端口:2003 可以连接到r3的console口; 地址:127.0.0.1 端口:2004 可以连接到r4的console口。
4、试验机器要求: CPU:1.5G以上 mem:512M以上 操作系统:win 2k、win xp、win 2003
5、由于dynamips的CPU使用率高,因此,建议不要使用dynamips模拟过多的路由器。
6、请注意该模拟器作者blog上的更新,地址为:http://www.ipflow.utc.fr/blog 。
7、如需获得更多功能,请自行阅读dynamips官方文档。 下载地址:http://ciscobbs.njut.edu.cn/bbs/dnld/ccnpsimv2.zip 下载地址:http://lab.njut.edu.cn/bbs/dnld/ccnpsimv2.zip |