内容发布更新时间 : 2025/1/3 18:47:14星期一 下面是文章的全部内容请认真阅读。

IPsec Site to site VPN实验

一：实验拓扑及实验要求

实验要求：

1. 用Dynamips GUI或GNS3搭建如上图所示的网络环境；

2. IPsec Site to Site VPN实现分公司与总公司之间所有数据通信的机密性及完

整性保护；

3. IPsec Site to Site VPN实现分公司与总公司之间TCP等关键数据通信的机密

性及完整性保护（AH + ESP），ICMP数据的完整性保护（AH）；（选做一） 4. IPsec VPN完美地实现了“Site to Site”数据的保护，但是无法实现公司局域

网内数据的保护。因此最佳的做法是计算机上（CPU资源丰富）使用传输模式的ESP加密保护，路由器或安全网关上站到站的AH隧道保护。（选做二）

二：实验操作过程及配置说明

基本设置

R1基本设置

R1(config)#int f0/0 #R1上的IPsec VPN接口，一般为外网接口 R1(config-if)#ip add 1.1.1.1 255.255.255.252 R1(config-if)#no sh

R1(config-if)#int f1/0 #R1上的内网接口 R1(config-if)#ip add 192.168.1.1 255.255.255.0 R1(config-if)#no sh

R1(config-if)#exit

R1(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2 #R1上默认路由配置

R2基本设置

R2(config)#int f1/0

R2(config-if)#ip add 1.1.1.2 255.255.255.252 R2(config-if)#no sh R2(config-if)#int f0/0

R2(config-if)#ip add 2.2.2.1 255.255.255.252 R2(config-if)#no sh

R3基本设置

R3(config)#int f1/0 #R3上的IPsec VPN接口 R3(config-if)#ip add 2.2.2.2 255.255.255.252 R3(config-if)#no sh

R3(config-if)#int f0/0 #R3上的内网接口 R3(config-if)#ip add 172.16.1.1 255.255.255.0 R3(config-if)#no sh

R3(config)#ip route 0.0.0.0 0.0.0.0 2.2.2.1 #R3上默认路由配置

R1 IPsec设置

R1 IKE策略定义

R1(config)#crypto isakmp policy 10 #定义IKE策略及其优先级

R1(config-isakmp)#encryption aes 128 #设置IKE的加密算法为128bits AES R1(config-isakmp)#hash sha #设置IKE的认证算法为SHA-1

R1(config-isakmp)#authentication pre-share #设置IKE的认证方法为预共享密钥 R1(config-isakmp)#group 2 #设置isakmp的密钥协商算法为DH“群2”（1024bits） R1(config-isakmp)#lifetime 3600 #设置IKE SA的寿命为3600秒 R1(config-isakmp)#exit

IKE策略中，与对端共享的口令（预共享密钥认证）

R1(config)#crypto isakmp key haha address 2.2.2.2

#设置IKE认证中与对端共享的口令

定义R1中IPsec的感兴趣流

R1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255 #从192网段到172网段的流量是需要被加密的

定义R1中IPsec的转换集

R1(config)#crypto ipsec transform-set R1set ah-md5-hmac esp-aes 256 esp-sha-hmac #AH + ESP的保护

R1(cfg-crypto-trans)#mode tunnel #默认为Tunnel模式，可以不设

定义R1中IPsec的加密图

R1(config)#crypto map R1map 10 ipsec-isakmp #定义R1上的加密图，以关联IPsec所需的组件

% NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured.

R1(config-crypto-map)#match address 101 #匹配访问控制列表（应用IPsec的感兴趣流） R1(config-crypto-map)#set peer 2.2.2.2 #设置IPsec VPN的对端

R1(config-crypto-map)#set transform-set R1set #应用IPsec VPN的转换集（保护方式） R1(config-crypto-map)#set pfs group2 #设置IPsec VPN的PFS（密钥完美向前保密）

在R1的VPN接口上应用IPsec的加密图

R1(config)#int f0/0

R1(config-if)#crypto map R1map

*Mar 1 02:30:24.671: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

R3 IPsec设置

R3 IKE策略定义

R3(config)#crypto isakmp policy 10 R3(config-isakmp)#encryption aes 128 R3(config-isakmp)#hash sha

R3(config-isakmp)#authentication pre-share R3(config-isakmp)#lifetime 3600 R3(config-isakmp)#group 2 R3(config-isakmp)#exit

IKE策略中，与对端共享的口令（预共享密钥认证）

R3(config)#crypto isakmp key haha address 1.1.1.1 #设置IKE认证中与对端共享的口令

定义R3中IPsec的感兴趣流

R3(config)# access-list 101 permit ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255

定义R3中IPsec的转换集

R3(config)#crypto ipsec transform-set r3set ah-md5-hmac esp-aes 256 esp-sha-hmac R3(cfg-crypto-trans)#mode tunnel R3(cfg-crypto-trans)#exit

定义R3中IPsec的加密图

R3(config)#crypto map R3map 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured. R3(config-crypto-map)#match address 101 R3(config-crypto-map)#set transform-set r3set R3(config-crypto-map)#set peer 1.1.1.1 R3(config-crypto-map)#set pfs group2

在R3的VPN接口上应用IPsec的加密图

R3(config)#int f1/0

R3(config-if)#crypto map R3map

三：实验验证及总结

验证命令：

R1#sh crypto isakmp ?

key Show ISAKMP preshared keys peers Show ISAKMP peer structures

policy Show ISAKMP protection suite policy