实验4：IPSec VPN(课内实验)

实验4：IPSec VPN

实验目的及要求：

通过实验，理解VPN技术的工作原理，了解不同类型VPN技术的主要作用以及各自的主要应用环境。能够完成IPSec VPN技术的应用，并熟练掌握IPSec VPN技术相关的配置命令。

实验设备：

路由器、三层交换机、二层交换机、计算机

实验内容1：

在北京总公司和哈尔滨分公司之间建立VPN隧道，实现跨互联网私有网络之间的通信。

实验课件:https://download.csdn.net/download/m0_73951999/89891938https://download.csdn.net/download/m0_73951999/89891938

实验拓朴：

实验步骤：

1. 根据实验拓扑图，验证所有设备的接口状态和IP地址，测试路由器到路由器HarBinBeiJing的连通性；测试哈尔滨分公司的客户机是否可以访问北京总公司的服务器。需要完成什么配置？
2. VPN技术的应用

1. 第一阶段 管理连接

conf t

crypto isakmp policy 1    （IKE传输集/策略集，可以多配置几个策略集）

encryption des/3des/aes         (加密算法类型)

hash md5/sha                 （完整性校验算法类型）

group 1/2/5                    （使用D-H算法的版本）

authentication pre-share          （预共享密钥算法，身份验证方式）

lifetime 秒 （默认86400秒）    （可不配置，对称密钥有效时间）

exit

crypto isakmp key 预共享密钥 address 对方的公网IP地址

1. 第二阶段 数据连接

定义VPN触发流量：

access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255

定义加密及认证方式：

conf t

crypto ipsec transform-set 传输模式名 esp-des/3des/aes esp/ah-md5/sha-hmac

例:crypto ipsec teansform-set wencoll  esp-aes esp-sha-hmac

注：ESP：支持加密及认证（身份验证+完整性）

AH：只支持认证，没得加密（身份验证+完整性）

1. 第三阶段 创建MAP映射表

conf t

crypto map map名 1 ipsec-isakmp     （1是之前创建的隧道1）

match address ACL表名             （阶段2里面的ACL表名）

set transform-set 传输模式名

set peer 对方的公网IP

exit

1. 第四阶段 将map表应用到外网端口

int g0/0/1（外网端口）

crypto map 自定义map名

exit

注：一个接口只能应用一个map表

1. 验证VPN连接状态

show crypto isakmp sa            查看第一阶段状态

show crypto ipsec sa            查看第二阶段状态

show crypto isakmp policy           查看第一阶段的策略配置集

show crypto ipsec transform-set 查看第二阶段的传输模式

测试哈尔滨分公司到北京总公司的VPN隧道是否建立成功。分公司客户端通信私有地址访问总公司FTP服务器。