4、GREOver IPSEC实验

4.1实验任务与目的

通过本实验可以掌握:

u(注:是在实验3的配置的基础上)

4.1.1 GRE over IPSec的概念

    4.1.2 GRE over IPSec的配置和调试

4.1.3 GREover IPSec的应用

4.2  封装的报文格式

102329928.jpg

                     图(一)GRE over IPsec的报文格式

u注:在实验三的基础上。

4.3实验拓扑

102337982.jpg

图(二)GRE over IPsec的实验拓扑

4.4实验步骤(配置截图及说明)

配置IKE

R1(config)#crypto isakmp enable //开启isakmp (默认开启)

R1(config)#crypto isakmp policy 10 //创建一个isakmp策略,编号为10

R1(config-isakmp)#authentication pre-share

//配置isakmp采用的身份验证,这里采用的是域共享密钥

R1(config-isakmp)#encryption aes 256 //配置isakmp的加密算法,默认的是DES

R1(config-isakmp)#group 5 //配置isakmp采用的DH组,默认为1

R1(config-isakmp)#hash md5 //配置isakmp采用的HASH算法,默认的是SHA

R1(config-isakmp)#lifetime 43200

//配置密钥的更新周期为半天,默认的是86400

R1(config-isakmp)#exit //退出isakmp配置模式

R1(config)#crypto isakmp key 20130330 address 202.97.1.2

A pre-shared key for address mask 202.97.1.2255.255.255.255 already exists!

//配置对等体202.97.1.2的域共享密钥为20130330,双方配置的密钥需要一致

配置IPsec MAP

R1(config)#crypto ipsec transform-set byxah-sha-hmac esp-aes 256

//创建一个IPsec转换集,名称本地有效,但是双方路由器的转换集必须一致。

R1(config)#access-list 100 permit gre host202.96.1.1 host 202.97.1.2

//定义×××感兴趣数据流,用指明什么样的流量要通过×××加密传输。

注:这里限定的是从总部局域网到分部局域网的流量才进行加密,其他的流量不加密。

R1(config)#crypto map byxmap 30 ipsec-isakmp

//创建加密图,名称为byxmap,30为加密图的编号。

u注:名称和编号只本地有效。

R1(config-crypto-map)#set transform-set byx //调用转换集

R1(config-crypto-map)#set peer 202.97.1.2 //调用对等体的地址

R1(config-crypto-map)#match address 100 //指明×××感兴趣流量

R1(config-crypto-map)#ex //退出isakmp的配置模式

应用IPsec MAP

R1(config)#interf s0/0/0

R1(config-if)#crypto map byxmap //在接口上应用创建的加密图

*Jan  307:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

配置路由器R2

R2(config)#crypto isakmp enable

R2(config)#crypto isakmp policy 10

R2(config-isakmp)#authentication pre-share

R2(config-isakmp)#encryption aes 256

R2(config-isakmp)#group 5

R2(config-isakmp)#hash md5

R2(config-isakmp)#lifetime 43200

R2(config-isakmp)#exit

R2(config)#crypto isakmp key 20130330 address202.96.1.1

A pre-shared key for address mask 202.96.1.1255.255.255.255 already exists!

R2(config)#crypto ipsec transform-set byxah-sha-hmac esp-aes 256

R2(config)#access-list 100 permit gre host202.97.1.2 host 202.96.1.1

R2(config)#crypto map byxmap 30 ipsec-isakmp

R2(config-crypto-map)#set transform-set byx

R2(config-crypto-map)#set peer 202.96.1.1

R2(config-crypto-map)#match address 100

R2(config-crypto-map)#exi

R2(config)#interf s0/0/1

R2(config-if)#crypto map byxmap

*Jan  307:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

u(注:在配置GRE IPSEC的时候R2上的命令及调试解释都与R1类似这里不再一一介绍)

4.5实验调试和问题处理

1sho ip route如图(三)、图(四)

102346361.jpg

                       图(三)显示R1上的路由条目

102355735.jpg

      图(四)显示R2上的路由条目

2show crypto isakmppolicy

该命令显示isakmp的策略信息。如图(五)、图(六)

102406699.jpg

   图(五)显示R1isakmp的策略信息

102417404.jpg

   图(六)显示R2isakmp的策略信息


3show crypto map

该命令显示加密图的信息。如图(七)、图(八)。

102436861.jpg

                    图(七)显示R1上的加密图信息

102446541.jpg

                    图(八)显示R2上的加密图信息

4show crypto isakmp sa

该命令显示建立IPsec×××策略的信息。如图(九)、图(十)

102458895.jpg

                  图(九)显示R1上建立IPsec××× 信息

102507129.jpg

                   图(十)显示R1上建立IPsec×××信息

5tracerouter

跟踪数据包的去向。(表明总部与分支是联通的)如图(十一)。

102515403.jpg

        图(十一)显示R1到分支网络的数据包跟踪路径

u   注:R3上命令以及调试解释均和R1上的一致,这里就不一一介绍。

u注:如果在设置IPSEC时出错了,可以使用以下命令删除:

全局下:no crypto isakmp poli10

接口下:no crypto map byxmap

全局下:no crypto isakmp key

全局下:no access-list 100

全局下:no crypto ipsectransform-set byx

u顺便问一下大家,有没有用一条命令删除,我这样删太麻烦了。


5、实验总结

通过这次实验和写实验报告,

1、使我更清楚的理解和掌握×××的配置和原理,熟练了一下路由器的基本配置。

2、更深刻的知道,听老师讲课是很幸福的事情,因为,有时候自己埋头自学真的是件很痛苦的事。所以很感激。

3、知道了写好报告的重要性(对自己现在的学习和以后的工作),这个我还不是很熟练,希望在各位老师的监督下,能够熟练的写一份合格的报告。

4、这次实验,我感觉很充实,通过在做实验和写报告里出现的问题,让我知道了交流合作的重要性,让我开始慢慢的理解每一个命令含义,每一个协议的原理。嘿嘿,唯一遗憾的是没有能再真设备上来实验,不知道在真设备上遇到的问题是什么样的,我想可能如果是真设备实验的话,那种喜悦感可能来的会更加的真实,更加的会有成就感。

5、让我不畏惧在试验中有问题出现,呵呵,一个问题,一次提高,也是我更牢固记住这个知识点的一次好的机会。所以,我会很珍惜每次解决问题的机会。


6、参考资料

1、网络工程师教程第三版

2、老师整理的精华笔记和PPT

3、思科网络实验室CCNP(路由技术)实验指南


以上仅是个人学习笔记总结报告,如有不正确或不合理的,烦扰大家多指正!