PacketTracer5.3的IPsec-VPN实验

PacketTracer5.3的IPsecVPN实验说明网络拓扑大概描述一下：Router1模拟成Internet网（其实，就是没有私有IP地址路由的路由器，在说通俗点，现在VPN技术常用来解决总部与分部跨越Internet网解决内部私有地址的连通性）Router2为模拟成总部Router3为模拟成分部IP规划：Router1FastEthernet0/0200.1.1.1FastEthernet0/1100.1.1.1Router2FastEthernet0/0192.168.1.254FastEthernet0/1100.1.1.2Router3FastEthernet0/0200.1.1.2FastEthernet0/1192.168.2.254PC1：192.168.1.1/24PC2：192.168.2.1/24实验要求：让总部和分部的私有地址能连通！(在没配置VPN时，PC1是不能与ＰＣ２相互Ping通）配置如下：（红色为配置关键语句）Router1的配置：interfaceFastEthernet0/0ipaddress200.1.1.1255.255.255.0noshutdowninterfaceFastEthernet0/1ipaddress100.1.1.1255.255.255.0noshutdownRouter2的配置：cryptoisakmppolicy1//配置IKE策略，其中1是策略号，可自定义encryption3deshashmd5authenticationpre-share//配置IKE的验证方法，在此为pre-share，即预共享密钥认证方法cryptoisakmpkeyexampleaddress200.1.1.2//设置远端对等体的共享密钥为examplecryptoipsectransform-settesttagah-md5-hmacesp-3des//设置名为“testtag”的交换集指定AH散列算法为md5,ESP加密算法为3DESaccess-list101permitip192.168.1.00.0.0.255192.168.2.00.0.0.255cryptomaptest10ipsec-isakmp//设置加密图，加密图名称为“test”，序号为10setpeer200.1.1.2//设置对端IP地址settransform-settesttag//设置隧道的AH及ESP，即将加密图用于交换集matchaddress101//设置匹配101号访问列表interfaceFastEthernet0/0ipaddress192.168.1.254255.255.255.0noshutdowninterfaceFastEthernet0/1ipaddress100.1.1.2255.255.255.0noshutdowncryptomaptest//将加密图test应用于此端口，即用其加密iproute0.0.0.00.0.0.0100.1.1.1//设置默认路由Router3的配置：cryptoisakmppolicy1//配置IKE策略，其中1是策略号，可自定义encryption3deshashmd5authenticationpre-share//配置IKE的验证方法，在此为pre-share，即预共享密钥认证方法cryptoisakmpkeyexampleaddress100.1.1.2//设置远端对等体的共享密钥为examplecryptoipsectransform-settesttagah-md5-hmacesp-3des//设置名为“testtag”的交换集指定AH散列算法为md5,ESP加密算法为3DESaccess-list101permitip192.168.2.00.0.0.255192.168.1.00.0.0.255cryptomaptest10ipsec-isakmp//设置加密图，加密图名称为“test”，序号为10setpeer100.1.1.2//设置对端IP地址settransform-settesttag//设置隧道的AH及ESP，即将加密图用于交换集matchaddress101//设置匹配101号访问列表interfaceFastEthernet0/0ipaddress200.1.1.2255.255.255.0noshutdowncryptomaptest//将加密图test应用于此端口，即用其加密interfaceFastEthernet0/1ipaddress192.168.2.254255.255.255.0noshutdowniproute0.0.0.00.0.0.0200.1.1.1//设置默认路由实验完成，PC1和PC2能相互Ping通。（在Ping的过程中，会丢掉几个包，因为在建立IPSecVPN的协商）。用showcryptoisakmpsa和showcryptoipsecsa能看到IPSecVPN协商好的内容状态。