实验4:IPSec VPN(课内实验)

发布于:2024-10-17 ⋅ 阅读:(40) ⋅ 点赞:(0)

实验4:IPSec VPN

实验目的及要求:

通过实验,理解VPN技术的工作原理,了解不同类型VPN技术的主要作用以及各自的主要应用环境。能够完成IPSec VPN技术的应用,并熟练掌握IPSec VPN技术相关的配置命令。

实验设备

路由器、三层交换机、二层交换机、计算机

实验内容1:

在北京总公司和哈尔滨分公司之间建立VPN隧道,实现跨互联网私有网络之间的通信。

实验课件:https://download.csdn.net/download/m0_73951999/89891938icon-default.png?t=O83Ahttps://download.csdn.net/download/m0_73951999/89891938

实验拓朴:

实验步骤:

  1. 根据实验拓扑图,验证所有设备的接口状态和IP地址,测试路由器到路由器HarBinBeiJing的连通性;测试哈尔滨分公司的客户机是否可以访问北京总公司的服务器。需要完成什么配置?
  2. VPN技术的应用
  1. 第一阶段 管理连接

conf t

crypto isakmp policy 1    (IKE传输集/策略集,可以多配置几个策略集)

encryption des/3des/aes         (加密算法类型)

hash md5/sha                 (完整性校验算法类型)

group 1/2/5                    (使用D-H算法的版本)

authentication pre-share          (预共享密钥算法,身份验证方式)

lifetime 秒 (默认86400秒)    (可不配置,对称密钥有效时间)

exit

crypto isakmp key 预共享密钥 address 对方的公网IP地址

  1. 第二阶段 数据连接

定义VPN触发流量:

access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255

定义加密及认证方式:

conf t

crypto ipsec transform-set 传输模式名 esp-des/3des/aes esp/ah-md5/sha-hmac

例:crypto ipsec teansform-set wencoll  esp-aes esp-sha-hmac

注:ESP:支持加密及认证(身份验证+完整性)

AH:只支持认证,没得加密(身份验证+完整性)

  1. 第三阶段 创建MAP映射表

conf t

crypto map map名 1 ipsec-isakmp     (1是之前创建的隧道1)

match address ACL表名             (阶段2里面的ACL表名)

set transform-set 传输模式名

set peer 对方的公网IP

exit

  1. 第四阶段 将map表应用到外网端口

int g0/0/1(外网端口)

crypto map 自定义map名

exit

注:一个接口只能应用一个map表

  1. 验证VPN连接状态

show crypto isakmp sa            查看第一阶段状态

show crypto ipsec sa            查看第二阶段状态

show crypto isakmp policy           查看第一阶段的策略配置集

show crypto ipsec transform-set 查看第二阶段的传输模式

测试哈尔滨分公司到北京总公司的VPN隧道是否建立成功。分公司客户端通信私有地址访问总公司FTP服务器。