路由器上做IPsecVPN

实验

实验拓扑图:

实验环境:

在GNS3上搭建三台路由器,使用VPCS模拟两台PC,并规划上海和北京两家公司局域网。

实验要求:

在两家公司网关路由器上做IPsecVPN,使两家公司内网可以相互通信,并使数据加密传送达到信息安全的目的。

实验步骤:

首先规划路由器和PC机IP地址并在出口网关作做一条通向公网的默认路由:

R1:

R1(config)#int f0/1

R1(config-if)#ip add 192.168.10.1 255.255.255.0

R1(config-if)#no shut

R1(config-if)#int f0/0 

R1(config-if)#ip add 12.0.0.1 255.255.255.252

R1(config-if)#no shut

R1(config-if)#ex

R1(config)#ip route 0.0.0.0 0.0.0.0 12.0.0.2   

R2:

R2(config)#int f0/0

R2(config-if)#ip add 12.0.0.2 255.255.255.252

R2(config-if)#int f0/1

R2(config-if)#ip add 13.0.0.1 255.255.255.252

R2(config-if)#no shut

R3:

R3(config)#int f0/0

R3(config-if)#ip add 13.0.0.2 255.255.255.252

R3(config-if)#no shut

R3(config-if)#int f0/1

R3(config-if)#ip add 10.0.0.1 255.255.255.0

R3(config-if)#no shut

R3(config-if)#ex

R3(config)#ip route 0.0.0.0 0.0.0.0 13.0.0.1 

PC:

接下来在网关路由器上做IPsecVPN:

配置如下:

R1:

R1(config)#crypto isakmp policy 1   //配置安全策略级别

R1(config-isakmp)#encryption des    //采用DES加密算法

R1(config-isakmp)#hash sha   //指定SHA验证功能

R1(config-isakmp)#authentication pre-share   //设备方式的验证

R1(config-isakmp)#group 2   //指定DH密钥组

R1(config-isakmp)#lifetime 60  //配置为60秒没有流量将自动断开连接

R1(config-isakmp)#crypto isakmp key 6 abc123 address 13.0.0.2   //设定共享密钥的内容和对端设备的IP地址

R1(config)#access-list 101 permit ip host 192.168.10.100 host 10.0.0.2  //配置ACL指定需要保护的流量

R1(config)#crypto ipsec transform-set benet esp-sha-hmac esp-des  //指定传输集名称和选项

R1(cfg-crypto-trans)#crypto map ipsecmap 1 ipsec-isakmp   //构建IPsecVPN会话

R1(config-crypto-map)#match address 101   //调用ACL

R1(config-crypto-map)#set peer 13.0.0.2  //指定对端IP地址

R1(config-crypto-map)#set transform-set benet  //调用传输集

R1(config-crypto-map)#ex

R1(config)#int f0/0

R1(config-if)#crypto map ipsecmap  //应用在接口

R3与R1绝大部分配置相同,将对端地址互指即可:

R3(config)#crypto isakmp policy 1

R3(config-isakmp)#encryption des

R3(config-isakmp)#hash sha

R3(config-isakmp)#authentication pre-share 

R3(config-isakmp)#group 2

R3(config-isakmp)#lifetime 60

R3(config-isakmp)#crypto isakmp key 6 abc123 address 12.0.0.1  

R3(config)#access-list 101 permit ip host 10.0.0.2 host 192.168.10.100  

R3(config)#crypto ipsec transform-set benet esp-sha-hmac esp-des

R3(cfg-crypto-trans)#ex    

R3(config)#crypto map ipsecmap 1 ipsec-isakmp 

R3(config-crypto-map)#match address 101

R3(config-crypto-map)#set peer 12.0.0.1

R3(config-crypto-map)#set transform-set benet

R3(config-crypto-map)#ex

R3(config)#int f0/0

R3(config-if)#crypto map ipsecmap

测试两台PC互通:

实验完成

时间: 2024-10-07 06:47:41

路由器上做IPsecVPN的相关文章

华为设备上做IPsecVPN

实验 实验拓扑图: 实验要求: 在上海和北京两家分公司网关做IPsecVPN,能够互相访问内部局域网,分公司网关指一条通向ISP运营商的默认路由. 实验步骤: 配置各设备的IP地址: AR1: [shanghai]int g0/0/1 [shanghai-GigabitEthernet0/0/1]ip add 192.168.1.1 24 [shanghai-GigabitEthernet0/0/1]un shut [shanghai-GigabitEthernet0/0/1]int g0/0/

如何在思科路由器上做端口映射

详细请见附件 1.首先进入到交换机 Telnet 网关 Telnet 192.168.12.1 2.进入路由器 telnet 10.0.0.1 3.进入特权模式 输入en 输入密码 4.show run 查看当前的配置 SH RUN 备份当前信息,写上备份日期. 5.进入全局配置 输入 config terminal 6.写入需要映射的端口 ip nat inside source static tcp192.168.12.59 8088 60.12.222.28 8088 extendable

cisco 5505 与cisco路由器做ipsecVPN遇到的问题解决

cisco 路由器做ipsecVPN的时候 能建立起来 但是双方内网不通,这个问题一般都是nat的问题  你想让一个网段不走nat 走vpn的话 你要先deny这个网段到对端网段  然后在permit这个网段到对端网段 先拒绝再允许 目的地是any的放到后面 这样acl匹配的时候从上往下 只要去往vpn的流量自然被拒绝不走nat转换了 access-list 101 deny ip 10.70.1.0 0.0.0.255  192.168.70.0 0.0.0.255          acce

drcom运行在路由器上

上篇介绍了drcom运行在Linux或Mac平台下,这篇会介绍如何将drcom运行在路由器上. 在解决了自己电脑如何使用drcom的问题后,突然发现drcom使用代理软件会掉线,不允许将网络共享,但是现在这个年代怎么可以不用路由器. 因为学的是计算机网络技术,专业是学思科设备,平时会很关注各种厂商的路由器,遇到这个问题的时候,首先想到的还是Linux环境配合python,Linux是万能的.于是发现openwrt这个路由器系统真的很强大,可以理解为是一个小型的Linux系统,于是找了几种国内的路

基于OpenWRT,实现360 P1路由器上的朋友专享网络 功能

笔者分析了360 P1路由器上的朋友专享网络功能,发现其主要由如下子功能组成: 1. APP点击“立即开启”,则路由器会多出一个新的SSID:360朋友专享网络-8463.此SSID不加密:同时,原有的主SSID不变 2. STA接入此新SSID后 u  可以获得IP地址,且获得的IP地址与接入主SSID设备获取的IP地址在同一个网段: u 可以访问外网: u 不可以访问360路由器的Web, u 无法ping通360路由器的ip地址 u 无法ping通其他连入此路由器的其他客户端(包括连入36

Cisco路由器上配置L2L IPSec VPN实例

实例一 Cisco路由器实现L2L IPSecVPN(--自明教教主) 拓扑图: 描述: 通讯点:PC1的1.1.1.1和Site2的2.2.2.2 加密点:Site1的202.100.1.1和Site2的61.128.1.1 要求:通信点间通过IPSEC VPN实现安全通信 PC1: 基础配置: en config t no ip domain-lookup line vty 0 15 logging synchronous exec-timeout 0 0 password cisco ex

远程访问VPN--easy vpn 路由器上配置

实验拓扑图: web  用的server2003 搭建 vpn服务器的配置如下: hostname vpn aaa new-model    开启AAA功能,路由器上AAA默认是关闭的 aaa authentication login yanzheng local    设置AAA 验证取名yanzheng:local代表采用本地验证的方式,还可以用三方AAA服务器验证.也可使其与radius服务器相连 aaa authorization network shouquan local  设置AA

分析并实现 360 P1路由器上的测速功能(也可以针对金山测速功能)

现在各种智能路由器以及一些PC上的防火墙软件,都提供网络测速功能.笔者对此进行了研究,并在自己的路由器上也实现了此功能.下面做一下总结 一般的网络测速,主要关注两个方面:网络延迟和下载速率 1.网络延迟:即客户端从发出一个请求报文,到收到应答报文,这中间耗费的时间.此时间的长度,可以检测网络报文的传输延迟 2.下载速率:即客户端向某些提供下载服务的站点(一般是HTTP)进行数据下载,测试下载速率. 这两个数据,要比运营商告知的宽带套餐的数据,靠谱的多 下面谈谈我是如何实现的 1.网络延迟:简单的

通过GRE协议在路由器上配置VPN隧道

50篇博客了,还从未上过推荐博客,今天抽出这点时间发表一篇博客,也想对自己说一下,我全部都是写给自己的,省的以后忘记(好随时点开查看一下),也是对自己的一种锻炼.锻炼自己写文档的能力,写项目的能力.废话少续,继续实验! 实验要求:通过在R2网关路由器上配置GRE路由协议使得R1和R5能够建立一条隧道,并且正常通信. 这里配置的只是一条隧道而已,因为并没有加密.只是GRE协议. 下面是操作步骤:ISP运营商上面只需要配置两个IP地址而已,其他什么都不需要(过程略). R1上不仅要配IP地址,还要配