在windows XP运行CISCO7200路由器仿真器

CISCO 7200路由器配置实例

 

在windows XP运行7200路由器仿真器 一、安装步骤 1、下载Dynamips for Windows Setup 最新版并安装 地址：http://sourceforge.net/project/showfiles.php?group_id=160 317 2、下载Winpcap并安装（目前版本4.0 Beta 1） 地址：http://www.winpcap.org/install/default.htm 或：http://download.pchome.net/multimedia/onlineplayer/11474.htm l 3、下载7200 IOS(12.3) http://www1.one-tom.com/TEMP/C7200.rar 解压后将C7200.BIN拷贝至安装目录images目录，如C:/Program Files/Dynamips/images/下。 再到New York这个路由器上面进行相同的配置，两个路由器之间就会建立一个VPN连接。下面我用扩展拼进行测试： Miami#ping（Miami端路由器已经配置完成，但是New York端路由器并没有完成配置，因此VPN没有建立起来。） Protocol [ip]: Target IP address: 10.10.1.1 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 10.10.4.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.10.1.1, timeout is 2 seconds: Packet sent with a source address of 10.10.4.1 ..... Success rate is 0 percent (0/5) New York端路由器配置完成后先用这个命令查看加密流量，因为还没有拼对端，所以没有流量，我直接拼Miami的外网接口地址192.168.4.1，再次查看加密流量，和之前一样并没有加密流量： NewYork#show crypto ipsec sa interface: Ethernet0/0 Crypto map tag: Miami, local addr. 192.168.1.1 protected vrf: local ident (addr/mask/prot/port): (10.10.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.10.4.0/255.255.255.0/0/0) current_peer: 192.168.4.1:500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 192.168.1.1, remote crypto endpt.: 192.168.4.1 path mtu 1500, ip mtu 1500, ip mtu idb Ethernet2/0 current outbound spi: 0 inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: New York端路由器开始用扩展拼进行测试，直接拼10.10.4.1的话，还是看不到加密流量的，要带上源地址进行测试，这样才能激活VPN连接： NewYork#ping Protocol [ip]: Target IP address: 10.10.4.1 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 10.10.1.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.10.4.1, timeout is 2 seconds: Packet sent with a source address of 10.10.1.1 ...!!（前面会有三个...，是因为vpn建立连接的过程中要协商isakmp和ipsec的参数，第二次再拼就会全通，有兴趣的朋友自己试试就知道了） Success rate is 40 percent (2/5), round-trip min/avg/max = 576/596/616 ms NewYork#show crypto ipsec sa interface: FastEthernet0/0 Crypto map tag: Miami, local addr. 192.168.1.1 protected vrf: local ident (addr/mask/prot/port): (10.10.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.10.4.0/255.255.255.0/0/0) current_peer: 192.168.4.1:500 PERMIT, flags={origin_is_acl,} #pkts encaps: 2, #pkts encrypt: 2, #pkts digest 2 #pkts decaps: 2, #pkts decrypt: 2, #pkts verify 2 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 3, #recv errors 0 local crypto endpt.: 192.168.1.1, remote crypto endpt.: 192.168.4.1 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0 current outbound spi: 48776547 inbound esp sas: spi: 0x8B31B8CD(2335291597) transform: esp-256-aes esp-sha-hmac , in use settings ={Tunnel, } slot: 0, conn id: 2000, flow_id: 1, crypto map: Miami sa timing: remaining key lifetime (k/sec): (4399143/1681) IV size: 16 bytes replay detection support: Y inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x48776547(1215784263) transform: esp-256-aes esp-sha-hmac , in use settings ={Tunnel, } slot: 0, conn id: 2001, flow_id: 2, crypto map: Miami sa timing: remaining key lifetime (k/sec): (4399143/1679) IV size: 16 bytes replay detection support: Y outbound ah sas: outbound pcp sas: frame-relay switching ! interface Serial1/0 no ip address encapsulation frame-relay clockrate 64000 frame-relay intf-type dce frame-relay route 102 interface Serial1/1 201 frame-relay route 103 interface Serial1/2 301 ! interface Serial1/1 no ip address encapsulation frame-relay clockrate 64000 frame-relay intf-type dce frame-relay route 201 interface Serial1/0 102 frame-relay route 203 interface Serial1/2 302 ! interface Serial1/2 no ip address encapsulation frame-relay clockrate 64000 frame-relay intf-type dce frame-relay route 301 interface Serial1/0 103 frame-relay route 302 interface Serial1/1 203 二、运行步骤 1 、下载等级一、二配置文件itaa01.net，itaa02.net，解压放置于新建的独立的一个目录即可（因运行会自动产生 很多文 件），该目录和安装目录需在同一个分区磁盘内（如C:盘），建议放2个文件的快捷方式到桌面即可。 下载路径：http://www1.one-tom.com/TEMP/itaalab.rar2、运行桌面/程序快捷方式：Dynamips Server（该窗口不可关闭）3、根据需要选择以下2种方式之一种： A、双击运行等级一的itaa01.net，即启动等级一实验台； B、双击运行等级二的itaa01.net，即启动等级二实验台； 4、启动CRT，telnet 127.0.0.1 2001 (注意端口不采用默认23，而是改为2001，R2为2002，R3为2003)，依次类推启动路由器。 到这一步已经可以做ITAA等级一、二的路由实验。初学者对以下问题可暂时无视。 三、其他常见问题 1、是否可以换其他的7200 IOS 大部分7200 12.2之后的IOS都支持，可自行下载。在.net文件里改对应路径或者文件名（用记事本打开.net文件编辑）。 2、如何更改网络拓扑连接及启用更多的路由器。 通过修改.net文件实现，用记事本打开.net文件编辑。具体语法参考安装目录下docs目录的说明。 3、如果没有在Cisco下载IOS的权限如何获得IOS： 可在各大FTP搜索引擎查找，或者用以下工具IOS hunter: http://www.sharewareconnection.com/ioshunter.htm 4、电脑可以运行仿真多少台7200 理论上无限，根据实际CPU运算能力及内存而定，建议运行时打开任务管理器，查看CPU利用率，一般而言运行5台需要P3-80 0及512MB内存。 5、可否仿真Cisco的CCIE认证环境 完全可行，用1台电脑+交换机（3550）可仿真出来。该软件可以虚拟做出Frame-switch，并且可以驱动物理网卡和3 550交换机连接则已经可以仿真出考试环境。如果完全用于测试路由部分内容（该认证交换部分配置很少，如划分VLAN可单独练习 ），则可排除交换机的使用。 6、能否在windows 2000下安装使用 可以，在http://www.ipflow.utc.fr/blog/下载0.2.6-RC2 binaries for Windows XP and 2000文件，解压后将dynamips-w2000.exe改名为dynamips.exe覆盖安装目录下的同名文件。 7、其他资源 模拟器作者Blog：http://www.ipflow.utc.fr/blog/ Dyangen页面：http://dyna-gen.sourceforge.net/index.html 论坛：http://7200emu.hacki.at/index.php Telnet程序：大小只有300多KB，不需要安装 Putty   2006-09-04_122641_putty.rar 1、本模拟器分为两个版本：winxp版和win2k版，请用户按照自己的系统选择相应的.bat文件。（win2003视同winxp） 本文件夹中的2k_r1.bat、2k_r2.bat、2k_r3.bat、2k_r4.bat为win2k系统使用。 本文件夹中的xp_r1.bat、xp_r2.bat、xp_r3.bat、xp_r4.bat为winxp系统使用。 2、使用前，请先安装winpcap_3_1.exe、SecureCRT。 3、依次双击四个.bat文件即可启动四台Cisco 7200路由器，注意：请不要关闭此操作所打开的命令行窗口。 在SecureCRT中新建四个telnet连接，连接的地址分别为： 地址：127.0.0.1 端口：2001 可以连接到r1的console口； 地址：127.0.0.1 端口：2002 可以连接到r2的console口； 地址：127.0.0.1 端口：2003 可以连接到r3的console口； 地址：127.0.0.1 端口：2004 可以连接到r4的console口。 4、本模拟器的r4仅用于模拟帧中继交换机，帧中继交换机的配置如下所示： 1.配置transform sets 和 SA参数. 2.配置IPsec SA lifetimes. 3.配置crypto acls. 4.配置crypto maps. 5.在接口上应用crypto map. 1.配置transform sets 和 SA参数 IPsec SA用transform sets来定义加密和哈希算法。transform set用下面这个命令来配置: Miami#configure terminal Miami(config)#crypto ipsec transform-set 20 esp-aes 256 esp-sha-hmac 2.配置IPsec SA lifetimes 在第二步里面IKS SA已经定义了lifetime，IPsec SA也需要定义lifetime。之所以要定义lifetime，是在一定的时间内加密会被破解。改变lifetime，可以防止黑客破解加密而获得关键信息: Miami#configure terminal Miami(config)#crypto ipsec security-association lifetime seconds 1800 3.配置Crypto Acls Crypto ACL定义路由器路由器感兴趣的流量，下面这个ACL 105的意思就是Miami路由器的10.10.4.0/24网段去往New York的10.10.1.0/24网段的流量将会被加密。 Miami#configure terminal Miami(config)#access-list 105 permit ip 10.10.4.0 0.0.0.255 10.10.1.0 0.0.0.255 对端路由器上面配置正好相反，这是很关键的一步，ACL不能是标准的ACL，必须是扩展的ACL，号码可以自己设，这里保持一致主要是方便实验。记住： NewYork#configure terminal NewYork(config)#access-list 105 permit ip 10.10.1.0 0.0.0.255 10.10.4.0 0.0.0.255 4.配置Crypto Maps Crypto Maps定义下面这些选项: Which crypto ACL addresses the connection The IKE and IPsec peer addresses Sets Perfect Forward Secrecy Defines the applicable transform set Sets the IPsec SA lifetime Miami#configure terminal Miami(config)#crypto map NewYork 120 ipsec-isakmp （map一般设为对端路由器的名字，号码可以自行设置） Miami(config-crypto-map)#match address 105   （和peer 192.168.1.1结合起来用，设置需要加密的流量） Miami(config-crypto-map)#set peer 192.168.1.1 Miami(config-crypto-map)#set pfs group5 Miami(config-crypto-map)#set transform-set 20 （调用第1小步里面设置好的transform-set 20） Miami(config-crypto-map)#set security-association lifetime seconds 1800 5.在接口上应用crypto map crypto map应用到接口上（要建立VPN的接口） Miami#configure terminal Miami(config)#interface fa0/1 Miami(config-if)#crypto map NewYork !================================================================== 5、试验机器要求： CPU：1.5G以上 mem：512M以上 操作系统：win 2k、win xp、win 2003 6、由于dynamips的CPU使用率高，因此，建议不要使用dynamips模拟过多的路由器。 7、请注意该模拟器作者blog上的更新，地址为：http://www.ipflow.utc.fr/blog 。 8、如需获得更多功能，请自行阅读dynamips官方文档。 下载地址：http://ciscobbs.njut.edu.cn/bbs/dnld/ccnasimv3.zip 下载地址：http://lab.njut.edu.cn/bbs/dnld/ccnasimv3.zip 原地址：http://ciscobbs.njut.edu.cn/bbs/ ... &extra=page%3D1 1、本模拟器分为两个版本：winxp版和win2k版，请用户按照自己的系统选择相应的.bat文件。（win2003视同winxp） 本文件夹中的2k_r1.bat、2k_r2.bat、2k_r3.bat、2k_r4.bat为win2k系统使用。 本文件夹中的xp_r1.bat、xp_r2.bat、xp_r3.bat、xp_r4.bat为winxp系统使用。 2、使用前，请先安装winpcap_3_1.exe、SecureCRT。 3、依次双击四个.bat文件即可启动四台Cisco 7200路由器，注意：请不要关闭此操作所打开的命令行窗口。 在SecureCRT中新建四个telnet连接，连接的地址分别为： 地址：127.0.0.1 端口：2001 可以连接到r1的console口； 地址：127.0.0.1 端口：2002 可以连接到r2的console口； 地址：127.0.0.1 端口：2003 可以连接到r3的console口； 地址：127.0.0.1 端口：2004 可以连接到r4的console口。 4、试验机器要求： CPU：1.5G以上 mem：512M以上 操作系统：win 2k、win xp、win 2003 5、由于dynamips的CPU使用率高，因此，建议不要使用dynamips模拟过多的路由器。 6、请注意该模拟器作者blog上的更新，地址为：http://www.ipflow.utc.fr/blog 。 7、如需获得更多功能，请自行阅读dynamips官方文档。 下载地址：http://ciscobbs.njut.edu.cn/bbs/dnld/ccnpsimv2.zip 下载地址：http://lab.njut.edu.cn/bbs/dnld/ccnpsimv2.zip