1.拓扑:
2.基本配置:
A.R1:
interface FastEthernet0/0
ip address 202.100.1.1 255.255.255.0
no shut
interface Loopback0
ip address 10.1.1.1 255.255.255.0
ip route 0.0.0.0 0.0.0.0 202.100.1.2
B.R2:
interface FastEthernet0/0
ip address 202.100.1.2 255.255.255.0
no shut
interface FastEthernet0/1
ip address 202.100.2.2 255.255.255.0
no shut
C.R3:
interface FastEthernet0/0
ip address 20.1.1.3 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 20.1.1.8
D.Windows2003:
eth0:
IP:202.100.2.8/24
GW:202.100.2.2
eth1:
IP:20.1.1.8/24
启动路由和转发服务。
3.×××配置:
A.Windows2003:
①创建感兴趣流(双向):
-----在windows中为创建IP筛选器
IP筛选器10-to-20:选择源ip为10.1.1.0/24,目的IP为20.1.1.0/24,协议任意
IP筛选器20-to-10:选择源ip为20.1.1.0/24,目的IP为10.1.1.0/24,协议任意
注意添加时取消向导,取消镜像。
②第一阶段策略:
-----在windows的IP安全策略中为身份验证方法,第一阶段可供配置的东西很少。
②第二阶段策略:
-----在windows的IP安全策略中为筛选器操作:
③.配置crypto map:
----在windows的IP安全策略中为双向数据流的筛选器配置隧道终点,连接类型为所有网络连接。
④.应用crypto map:
----在windows的IP安全策略中为指派IP安全策略。
B.R1:
①.配置感兴趣流:
ip access-list extended ***
permit ip 10.1.1.0 0.0.0.255 20.1.1.0 0.0.0.255
②.第一阶段:
crypto isakmp policy 10
hash md5
authentication pre-share
group 1
lifetime 3600
crypto isakmp key cisco address 202.100.2.8
②.第二阶段:
crypto ipsec transform-set transet ah-md5-hmac esp-des esp-md5-hmac
③.配置crypto map:
crypto map crymap 10 ipsec-isakmp
set peer 202.100.2.8
set transform-set transet
match address ***
④.应用crypto map:
interface FastEthernet0/0
crypto map crymap
4.测试:
R1#ping 20.1.1.3 source l0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 20.1.1.3, timeout is 2 seconds:
Packet sent with a source address of 10.1.1.1
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 84/98/112 ms
R1#
下面为抓包的截图:
转载于:https://blog.51cto.com/333234/1112224