?

一、搭建實驗環境：

DynamipsGUI、SecureCRT、unzip-c3640-ik9o3s-mz.124-10.bin的CiscoIOS鏡像文件

R1模擬分部路由器，R2模擬Internet， R3模擬總部路由器。

并且在R1及R3上使用回環接口模擬各自內部局域網主機

具體IP地址及路由如下：
??????????? R1: fa0/0：10.1.1.1/30

Loopback1：172.16.0.1/24

??????????? R2: fa/0： 10.1.1.2/30

???? fa0/1：20.2.2.2/30

R3： fa0/1:20.2.2.1/30

? Loopback1:192.168.0.3/24

1、打開小凡DynamipsGUI設置界面，設置路由器個數為3個，設備類型為3640，根據類型選擇unzip-c3640-ik9o3s-mz.124-10.bin的CiscoIOS鏡像文件，接著就是計算idle的值了，點擊“計算idle”，確定。在彈出的命令提示行下按任意鍵啟動路由器，然后按“Ctrl+]+i”來計算idle的值。

由于idle值的計算是根據計算機的硬件來得出結果，為了避免誤差，降低內存利用率，建議多計算幾次，取出出現次數最多的數值。將得出的idle值填入idle-pc中，設置輸出目錄到指定位置，點擊“下一步”。

2、選擇3個路由器的端口模塊，然后點擊下一步。

3、連接各個路由器的端口，Router1的fa0/0與Router2的fa0/0相連，Router2的fa0/1與Router3的fa0/1相連，并使他們生成.Bat文件，然后退出，OK！3個模擬路由器已經建立成功，接下來就是用SecrueCRT來連接這3個路由器了。

4、當然，首先是要啟動者三個路由器啦，

5、打開SecureCRT的主界面，使用Telnet來連接這三臺路由器。具體參數設置為使用Telnet協議，主機名設為127.0.0.1，Router1的端口為2001，Router2的端口為2002，Router3的端口為2003。這寫端口號是Console端口，可以在選擇3個路由器的端口模塊時看到這三個端口。

三個路由器啟動之后，通過SecureCRT連接并修改hostname為R1、R2、R3。

二、×××實驗配置：

1、

R1路由器的基本配置：

添加默認路由為10.1.1.2

R2路由器的基本配置：

R3路由器的基本配置：

添加默認路由為20.2.2.2

2、在R1上可以ping通R3的fa0/1端口，但是ping不通loopback 1端口。在R3上也是類似情況。

3、在R1上配置IKE

crypto isakmp enable //開啟isakmp；

crypto isakmp policy 10 //配置優先級為10的IKE策略。（策略編號1-1000，號越小，優先級越高。假如想多配幾個×××，可以寫成policy 2、policy3……）；

encryption aes //指定加密算法為aes

hash md5 // 指定散列算法為md5

authentication pre-share //指定驗證為預共享

group 2 //指定交換密鑰D-H算法密鑰強度為group 2

4、配置對等體的預共享密鑰為linuxtro

5、配置Ipsec變換集

crypto ipsec transform-set r1_to_r3 esp-aes //創建一個r1_to_r3的變換集，指定變換為esp-aes。 Esp-aes主要來提供加密。但也可以提供認證和完整性。

mode transport //指定ipsec的傳輸模式為transport

6、配置加密訪問列表

7、配置加密映射表

Set peer 20.2.2.1 //指定對等體的地址

Set tran r1_to_r3 //指定交換集

Match addre 100 //指定加密訪問列表

8、將加密映射表應用到fa0/0接口上

到此為止，R1的配置就完成了，R3的配置與此類似，不同之處如下：

通過Ipsec加密數據時，對等體的IP地址為10.1.1.1

配置Ipsec交換集時，創建交換集名稱為r3_to_r1

配置加密訪問列表時，源地址和目標地址不同

R3的具體配置如下：

R3#show running-config

Building configuration...

Current configuration : 1661 bytes

!

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname R3

!

boot-start-marker

boot-end-marker

!

!

no aaa new-model

memory-size iomem 5

!

!

ip cef

no ip domain lookup

!

!

crypto isakmp policy 10

encr aes

hash md5

authentication pre-share

group 2

crypto isakmp key linuxtro address 10.1.1.1

!

crypto ipsec transform-set r3_to_r1 esp-aes

mode transport

!

crypto map R3 100 ipsec-isakmp

set peer 10.1.1.1

set transform-set r3_to_r1

match address 100

interface Loopback1

ip address 192.168.0.3 255.255.255.0

!

interface FastEthernet0/0

!

interface FastEthernet0/1

no switchport

ip address 20.2.2.1 255.255.255.252

crypto map R3

ip route 0.0.0.0 0.0.0.0 20.2.2.2

!

!

access-list 100 permit ip 192.168.0.0 0.0.0.255 172.16.0.0 0.0.0.255

!

control-plane

line con 0

line aux 0

line vty 0 4

!

!

End

三、×××實驗驗證

先在R1上通過loopback 1端口來pingR3的loopback1端口，結果顯示是可以ping通的，說明×××建立成功。

查看IKE階段的安全關聯性是否成功。出現QM_IDLE字樣說明是成功的。

查看ipsec關聯性，出現以下詳細的內容證明IPSEC 安全關聯建立成功。

再到R3上測試一下：可以看到實驗結果也是正確的。

轉載于:https://blog.51cto.com/linuxtro/344197

總結

以上是生活随笔為你收集整理的基于IPSec的×××配置实验的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。