思科路由器创建北京－广州－深圳三地IPSEC ××× 链接

思科路由器创建多条IPSEC ×××链接

1、参数约定

环  境：dynamipsGUI模拟器，IOS 3745

网络状况：见下图

IP地址：

设备名	接  口	IP地址
R1	F0/0	172.16.1.1
	F1/1	202.96.134.1
R2	F1/1	202.96.134.2
	F1/3	61.96.134.1
R3	F1/3	61.96.134.2
	F1/4	211.96.134.1
	F1/5	119.96.134.1
R4	F0/0	192.168.1.1
	F1/4	211.96.134.2
R5	F0/0	10.10.1.1
	F1/5	119.96.134.2
PC1(北京)		172.16.1.2
PC4(广州)		192.168.1.2
PC5(深圳)		10.10.1.2

 

2、各路由器及PC机设置

1、配置R1路由器

1.1、进入到特权模式

 

1.2、修改设备名为R1

 

1.3为防止敲错命令，引发路由器自动寻找DNS

 

1.4、配置F0/0的网口信息

 

1.5、配置F1/1的网口信息：因在小凡模拟器里，F1/1口为二层口，因此要输入no switch，把它变为三层口，才能设置IP地址。

 

1.6、配置路由信息：（也可用：ip route 0.0.0.0 0.0.0.0 202.96.134.2）

 

1.7、定义一个IKE策略：因本次多×××链接，统一加密方式与认证，因此共用一个policy就行，便于之后维护。

 

1.8、设置IPSEC对等体验证方法：由于R1要与R4，R5路由器创建×××，因此要创建两条信息，预共享密钥取8位以上，最好带特殊字符。

 

1.9、定义感兴趣流：R1到R4的感兴趣流为172.16.1.0/24访问192.168.1.0/24，这里我用扩展的命名访问控制列表，而且在deny项前加200，是方便之后新增感兴趣流，根据思科的默认规则，第一条访问控制列表序号为10，此处设200，中间还有许多的区域能够使用，好比20，30……若是R1边（北京）新增一网段172.16.2.0/24，那么只需在这个控制列表里写上“20 permit ip 172.16.2.0 0.0.0.255 192.168.1.0 0.0.0.255”便可。

 

1.10、同理，创建R1到R5的感兴趣流：

 

1.11、定义交换集为mytrans，为什么要用mytrans，由于习惯问题，个人防火墙都是取mytrans，因此这次路由器上，我也取mytrans，后面的两个esp参数，我是根据防火墙上约定的参数设置的，能够不跟个人设置同样，但两个×××的终端，参数必定要一致，不然创建不了链接。这个转换集能够跟上面的policy同样，多×××共用。

 

1.12、定义IPSEC SA的生命周期为一天（86400秒），这个能够共用。注意一点，若是思科路由器跟juniper路由器等创建×××链接，必定要手动设置，统一时间，思科设置默认生命周期为86400秒。

 

1.13、创建加密视图：注意一个接口上只能应用一个加密视图，因此全部×××的加密视图都纳入至一个视图中，如mymap.

 

1.14、在接口上应用刚才创建的视图：

 

系统会提示isakmp启用

 

1.15、保存一下信息：记住一点，无论调试什么网络设备，在最后都要输入命令wri保存，防止断电，丢配置。常常有人诉苦，出差到外地调试好设备后，过几个月发现，网络设备断电后，连不上，原来是当初没有保存配置。

 

2、R2路由器设置：

2.1、因R2在本次实验中，只是做为一个转发路由器，因此基本上不要设置什么繁杂的东西，设置路由与接口IP地址就好了。

 

 

2.2、设置路由信息：敲这么多命令，真累，仍是动态路由好，等下×××通了，把它们都作成ospf玩玩。

 

3、R3路由器配置：

3.1、R3路由器接口配置

 

3.2、设置路由信息，并保存配置：

 

 

4、R4路由器配置：

4.1R4路由器接口IP配置及路由设置

 

 

4.2、由于它要与R1创建×××，因此要定义IKE策略：

 

4.3、定义感兴趣流：

 

 

4.4、定义变换集为mytrans

 

4.5、定义SA生存时间：

 

4.6、定义map视图并在接口上应用：

 

 

4.7、创建×××链接的全部参数设置完毕，先测试一下网络的连通性：在R4上ping R1路由器。因线路长，而且是虚拟机作实验，因此第一次，发五个包，前面四个包丢失。

 

 

4.8、启动虚拟PC，设置PC1,PC2,PC3的IP信息：

 

 

4.9、测试一下PC1至R4路由器的网络连通性，若是网络都不通，×××确定是创建不起来的。从下图看，没有问题。

 

4.10、在R4路由器上查看它有没有与其它路由器创建×××。从下图看，尚未创建***。

 

4.11、登陆PC1的虚拟机，ping对端的PC4，前面两个包丢掉了，后面的连通了。

 

4.12、在R4路由器上再次查看sa状况。SA已创建。

 

4.13、这里提醒一下，其实不作×××链接，PC1是能够PING通PC4的。由于全部路由器都没有NAT转换。整个网络就是一个简单的局域网。在R4路由器上查看ipsec sa状况。能够清楚的看到本端地址192.168.1.0/24与对端地址172.16.1.0/24，包加密的个数为4.若是咱们继续从PC1向PC4做ping测试，发加密的包有没有增长。

 

4.14、再次登陆PC1，ping对端的PC4

 

4.15、在R4上查看IPSEC SA状况：包有增长，说明×××链接有效。

 

5、R5路由器配置：

5.1、发现模块器在登陆时间超出后，耗了物理电脑80%的资源，因此在console里，把自动登出超时时间设为0.永不超时。其它的R1，R2，R3，R4都补设了这个命令。

 

5.2、设置接口IP地址

 

5.3、路由设置：

 

5.4、创建IKE策略

 

5.5、创建共享密钥

 

5.6、创建感兴趣流

 

5.7创建变换集

 

5.8、创建视图

 

5.9、测试一下PC1到R5的链路连通性，路由没有问题

 

5.10、在R5上查看IPSEC SA的状况，没有与其它路由器创建SA。

 

5.11、在PC1上PING 对端的PC5，网络通了。

 

5.12、在R5路由器上查看IPSEC SA的状况，已与R1路由器创建了×××链接。

 

 

实验完成，达到指望值。