实验4:IPSec VPN
实验目的及要求:
通过实验,理解VPN技术的工作原理,了解不同类型VPN技术的主要作用以及各自的主要应用环境。能够完成IPSec VPN技术的应用,并熟练掌握IPSec VPN技术相关的配置命令。
实验设备:
路由器、三层交换机、二层交换机、计算机
实验内容1:
在北京总公司和哈尔滨分公司之间建立VPN隧道,实现跨互联网私有网络之间的通信。
实验课件:https://download.csdn.net/download/m0_73951999/89891938https://download.csdn.net/download/m0_73951999/89891938
实验拓朴:
实验步骤:
- 根据实验拓扑图,验证所有设备的接口状态和IP地址,测试路由器到路由器HarBinBeiJing的连通性;测试哈尔滨分公司的客户机是否可以访问北京总公司的服务器。需要完成什么配置?
- VPN技术的应用
第一阶段 管理连接
conf t
crypto isakmp policy 1 (IKE传输集/策略集,可以多配置几个策略集)
encryption des/3des/aes (加密算法类型)
hash md5/sha (完整性校验算法类型)
group 1/2/5 (使用D-H算法的版本)
authentication pre-share (预共享密钥算法,身份验证方式)
lifetime 秒 (默认86400秒) (可不配置,对称密钥有效时间)
exit
crypto isakmp key 预共享密钥 address 对方的公网IP地址
第二阶段 数据连接
定义VPN触发流量:
access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255
定义加密及认证方式:
conf t
crypto ipsec transform-set 传输模式名 esp-des/3des/aes esp/ah-md5/sha-hmac
例:crypto ipsec teansform-set wencoll esp-aes esp-sha-hmac
注:ESP:支持加密及认证(身份验证+完整性)
AH:只支持认证,没得加密(身份验证+完整性)
第三阶段 创建MAP映射表
conf t
crypto map map名 1 ipsec-isakmp (1是之前创建的隧道1)
match address ACL表名 (阶段2里面的ACL表名)
set transform-set 传输模式名
set peer 对方的公网IP
exit
第四阶段 将map表应用到外网端口
int g0/0/1(外网端口)
crypto map 自定义map名
exit
注:一个接口只能应用一个map表
验证VPN连接状态
show crypto isakmp sa 查看第一阶段状态
show crypto ipsec sa 查看第二阶段状态
show crypto isakmp policy 查看第一阶段的策略配置集
show crypto ipsec transform-set 查看第二阶段的传输模式