IPSec与Easy+VPN的设计与应用3.docx
《IPSec与Easy+VPN的设计与应用3.docx》由会员分享,可在线阅读,更多相关《IPSec与Easy+VPN的设计与应用3.docx(35页珍藏版)》请在冰点文库上搜索。
IPSec与Easy+VPN的设计与应用3
实验三EasyVPN的设计与应用
实验目的:
1、掌握如何使用SDM配置EasyVPNServer。
2、使用EasyVPNClient软件连接到EasyVPN服务器。
实验拓扑图:
实验步骤及要求:
1.将R1路由器配置为Web和Telnet服务器,用于测试EasyVPN的客户端的连接,配置如下:
R1(config)#interfacef0/0
R1(config-if)#ipaddress192.168.1.2255.255.255.0
R1(config-if)#noshutdown
R1(config-if)#exit
R1(config)#iproute0.0.0.00.0.0.0192.168.1.1
R1(config)#linevty04
R1(config-line)#nologin
R1(config-line)#exit
R1(config)#
2.配置R2路由器基本配置,以接受SDM的配置:
R2(config)#interfacef0/0
R2(config-if)#ipaddress192.168.1.1255.255.255.0
R2(config-if)#noshutdown
R2(config-if)#exit
R2(config)#
R2(config)#interfacefastEthernet0/1
R2(config-if)#ipaddress202.102.48.1255.255.255.0
R2(config-if)#noshutdown
R2(config-if)#exit
3.为了能够让SDM连接到R2路由器,因此需要在R2上启用https服务,配置如下:
R2(config)#iphttpserver
R2(config)#iphttpsecure-server
R2(config)iphttpauthenticationlocal
R2(config)usernametestprivilege15passwordtest
4.另外,为了避免SDM不能正常工作,需要对安装SDM的PC的活动内容进行启用。
启用的方法是打开IE浏览器,选择“工具”菜单项,继续选择“Internet选项”,在弹出的对话框中,选择“高级”选项卡,找到下图选项并打勾。
中文是:
“允许活动内容在我的计算机上的文件中运行”。
5.启动SDM并且填写需要管理设备IP地址,并单击Launch按钮,如下图显示:
6.然后在SDM的界面中,选择“Configure”,继续选择“VPN”,然后选择“Site-to-SiteVPN”,选择“CreateaSitetoSiteVPN”,点击“Launchtheselectedtask”。
如下面所示:
7.激活AAA,选择“是”,选择EasyVPNServer接入端口和认证方式:
连接公网的接口
预共享密钥
8.配置IKE策略,可以选择“添加”按钮,用户自行添加IKE策略:
9.配置IPSec变换集,可以选择“添加”按钮,用户自行添加IPSec转换集,如下图所示:
10.配置客户端的身份认证方式,为本地用户名密码数据库,也可以配置ACS服务器进行身份认证:
11.添加EasyVPN的用户帐号:
12.创建一个用于VPN客户端连接的帐号,已有“test”账号,再添加“CCNP”账号,密码ciscoccnp
13.添加EasyVPN组策略,配置如下:
14.配置组名称、组最大会话数、认证密码以及客户端连接后的IP地址:
组名:
group-1
密码:
cisco
15.配置客户端的DNS以及WINs的服务器地址:
16.配置隧道分离:
17.配置帐号策略,仅允许单点登录,同时还可以配置是否允许客户端保存密码:
18.查看配置汇总信息:
19.将生成的配置写入到路由器:
20.为了测试EasyVPN的配置正确性,需要在客户端安装CiscoEasyVPNClient软件,同时创建新连接,下面为客户端主界面:
21.建立新的连接图示,并且填写VPNSERVER的主机地址和相应的客户组的组名和认证密码:
22.查看并双击进行连接:
22.组认证成功后,需要提供EasyVPN的客户端的帐号和密码:
23.观察任务栏右下角的图示,确认连接成功:
24.在客户端开启命令行窗口,使用ping命令确认可以与内部网络服务器进行通讯:
25.使用telnet到R1路由器,确认可以连接到内部网络:
再使用URLhttp:
//192.168.1.2,看是否能够访问R1路由器。
26.查看R2路由器生成的配置命令:
R2#showrunning-config
Buildingconfiguration...
……………
hostnameR2
!
aaaauthenticationlogindefaultlocal
aaaauthenticationloginsdm_vpn_xauth_ml_1local
aaaauthorizationnetworksdm_vpn_group_ml_1local
!
aaasession-idcommon
!
usernametestprivilege15password0test
usernameCCNPsecret5$1$8h8K$pqZqXV.YSY72iSj9a1CmN1
!
cryptoisakmppolicy1
encr3des
authenticationpre-share
group2
!
cryptoisakmpclientconfigurationgroupgroup-1
keycisco
dns1.1.1.1
wins2.2.2.2
poolSDM_POOL_1
acl100
max-users10
max-logins1
!
!
cryptoipsectransform-setESP-3DES-SHAesp-3desesp-sha-hmac
!
cryptodynamic-mapSDM_DYNMAP_11
settransform-setESP-3DES-SHA
reverse-route
!
!
cryptomapSDM_CMAP_1clientauthenticationlistsdm_vpn_xauth_ml_1
cryptomapSDM_CMAP_1isakmpauthorizationlistsdm_vpn_group_ml_1
cryptomapSDM_CMAP_1clientconfigurationaddressrespond
cryptomapSDM_CMAP_165535ipsec-isakmpdynamicSDM_DYNMAP_1
!
interfaceFastEthernet0/1
ipaddress202.102.48.1255.255.255.0
duplexhalf
nocdpenable
cryptomapSDM_CMAP_1
!
iplocalpoolSDM_POOL_1172.16.1.1172.16.1.10
iphttpserver
!
access-list100remarkSDM_ACLCategory=4
access-list100permitip192.168.1.00.0.0.255any
end
R2#
27.查看客户端的路由表,确认隧道分离的反向路由注入:
28.查看客户端的IP配置:
C:
\>ipconfig/all
WindowsIPConfiguration
EthernetadapterLocalAreaConnection2:
Connection-specificDNSSuffix.:
Description...........:
CiscoSystemsVPNAdapter
PhysicalAddress.........:
00-05-9A-3C-78-00
DHCPEnabled...........:
No
IPAddress............:
172.16.1.1
SubnetMask...........:
255.255.0.0
DefaultGateway.........:
DNSServers...........:
1.1.1.1
PrimaryWINSServer.......:
2.2.2.2
C:
\>
29.查看R2路由器路由表:
R2#showiproute
Gatewayoflastresortisnotset
C202.102.48.0/24isdirectlyconnected,FastEthernet0/0
172.16.0.0/32issubnetted,1subnets
S172.16.1.1[1/0]via202.102.48.2
C192.168.1.0/24isdirectlyconnected,Serial1/0
R2#
29.实验完成。
实验2:
IpsecVPN设计与应用
一、实验目的:
1.掌握IPsec隧道配置。
2.深刻理解IKE阶段1与阶段2的协商过程。
二、实验拓扑图:
实验步骤及要求:
1.配置各台路由器的IP地址,并且使用Ping命令确认各路由器的直连口的互通。
2.在R1和R2上配置静态路由。
确保Internet网络骨干可以相互通信。
R1(config)#iproute0.0.0.00.0.0.0f0/0
R2(config)#iproute0.0.0.00.0.0.0f0/0
3.在R1路由器上配置IKE阶段一需要使用策略。
R1(config)#cryptoisakmpenable
4.配置预共享密钥,在两台对等体路由器上密钥必须一致。
R1(config)#cryptoisakmpkey6testkeyaddress200.1.1.2
5.为IKE阶段一的协商,配置ISAKMP的策略。
可以在本地配置多个ISAKMP的策略,在与对等体协商,会选择一个匹配策略,而不管策略的编号。
R1(config)#
R1(config)#cryptoisakmppolicy1
R1(config-isakmp)#hashmd5
R1(config-isakmp)#encryptiondes
R1(config-isakmp)#authenticationpre-share
R1(config-isakmp)#lifetime86400
R1(config-isakmp)#group1
R1(config-isakmp)#exit
R1(config)#
6.配置IPsec变换集,其用于IKE阶段二的IPsec的SA协商。
指定协商的加密参数。
其包含了安全和压缩协议、散列算法和加密算法。
本配置使用了esp与des的协作的认证加密算法,实现对数据的保护。
并且指定其用于隧道模式。
R1(config)#cryptoipsectransform-setTRANesp-desesp-md5-hmac
R1(cfg-crypto-trans)#modetunnel
R1(cfg-crypto-trans)#exit
R1(config)#
7.配置加密访问控制列表,用于指出那些数据流是需要加密的,有时也被称为定义IPsec的感兴趣流。
R1(config)#access-list100permitip192.168.0.00.0.0.255192.168.1.00.0.0.255
R1(config)#
8.配置加密映射表,用于关联相关的变换集。
R1(config)#cryptomapvpn_to_R210ipsec-isakmp
%NOTE:
Thisnewcryptomapwillremaindisableduntilapeer
andavalidaccesslisthavebeenconfigured.
R1(config-crypto-map)#setpeer200.1.1.2
R1(config-crypto-map)#settransform-setTRAN
R1(config-crypto-map)#matchaddress100
R1(config-crypto-map)#exit
R1(config)#exit
R1#
9.将加密映射表应用到需要建立隧道接口。
R1(config)#interfacef0/0
R1(config-if)#cryptomapvpn_to_R2
R1(config-if)#exit
R1(config)#
10.在R2采用如上配置进行配置IKE阶段1和阶段2。
R2(config)#cryptoisakmpenable
R2(config)#
R2(config)#cryptoisakmpkey6testkeyaddress200.1.1.1
R2(config)#
R2(config)#cryptoisakmppolicy2
R2(config-isakmp)#hashmd5
R2(config-isakmp)#encryptiondes
R2(config-isakmp)#authenticationpre-share
R2(config-isakmp)#lifetime86400
R2(config-isakmp)#group1
R2(config-isakmp)#exit
R2(config)#
R2(config)#cryptoipsectransform-setTRANesp-desesp-md5-hmac
R2(cfg-crypto-trans)#modetunnel
R2(cfg-crypto-trans)#exit
R2(config)#
R2(config)#access-list100permitip192.168.1.00.0.0.255192.168.0.00.0.0.255
R2(config)#
R2(config)#cryptomapvpn_to_R110ipsec-isakmp
%NOTE:
Thisnewcryptomapwillremaindisableduntilapeer
andavalidaccesslisthavebeenconfigured.
R2(config-crypto-map)#setpeer200.1.1.1
R2(config-crypto-map)#settransform-setTRAN
R2(config-crypto-map)#matchaddress100
R2(config-crypto-map)#exit
R2(config)#interfacef0/0
R2(config-if)#cryptomapvpn_to_R1
R2(config-if)#exit
R2(config)#
11.在R1路由器打开ISAKMP的调试。
R1#
R1#debugcryptoisakmp
CryptoISAKMPdebuggingison
R1#
R1#debugcryptoipsec
CryptoIPSECdebuggingison
R1#
12.确认R1和R2的ISAKMP的策略。
R1#showcryptoisakmppolicy
GlobalIKEpolicy
Protectionsuiteofpriority1
encryptionalgorithm:
DES-DataEncryptionStandard(56bitkeys).
hashalgorithm:
MessageDigest5
authenticationmethod:
Pre-SharedKey
Diffie-Hellmangroup:
#1(768bit)
lifetime:
86400seconds,novolumelimit
Defaultprotectionsuite
encryptionalgorithm:
DES-DataEncryptionStandard(56bitkeys).
hashalgorithm:
SecureHashStandard
authenticationmethod:
Rivest-Shamir-AdlemanSignature
Diffie-Hellmangroup:
#1(768bit)
lifetime:
86400seconds,novolumelimit
R1#
R2#showcryptoisakmppolicy
GlobalIKEpolicy
Protectionsuiteofpriority2
encryptionalgorithm:
DES-DataEncryptionStandard(56bitkeys).
hashalgorithm:
MessageDigest5
authenticationmethod:
Pre-SharedKey
Diffie-Hellmangroup:
#1(768bit)
lifetime:
86400seconds,novolumelimit
Defaultprotectionsuite
encryptionalgorithm:
DES-DataEncryptionStandard(56bitkeys).
hashalgorithm:
SecureHashStandard
authenticationmethod:
Rivest-Shamir-AdlemanSignature
Diffie-Hellmangroup:
#1(768bit)
lifetime:
86400seconds,novolumelimit
R2#
13.在R1与R2上查看ISAKMP的预共享密钥配置,并确认双方配置一致。
R1#showcryptoisakmpkey
KeyringHostname/AddressPresharedKey
default200.1.1.2testkey
R1#
R2#showcryptoisakmpkey
KeyringHostname/AddressPresharedKey
default200.1.1.1testkey
R2#
14.在R1与R2上查看IPsec的变换集。
R1#showcryptoipsectransform-set
TransformsetTRAN:
{esp-des}
willnegotiate={Tunnel,},
R1#
R2#showcryptoipsectransform-set
TransformsetTRAN:
{esp-des}
willnegotiate={Tunnel,},
R2#
15.在R1上使用扩展命令去ping路由器R2回环口的私有地址。
R1#ping
Protocol[ip]:
TargetIPaddress:
192.168.1.254
Repeatcount[5]:
Datagramsize[100]:
Timeoutinseconds[2]:
Extendedcommands[n]:
y
Sourceaddressorinterface:
192.168.0.254
Typeofservice[0]:
SetDFbitinIPheader?
[no]:
Validatereplydata?
[no]:
Datapattern[0xABCD]:
Loose,Strict,Record,Timestamp,Verbose[none]:
Sweeprangeofsizes[n]:
Typeescapesequencetoabort.
Sending5,100-byteICMPEchosto192.168.1.1,timeoutis2seconds:
Packetsentwithasourceaddressof172.16.1.1
*Jun517:
08:
59.519:
IPSEC(sa_request):
(keyeng.msg.)OUTBOUNDlocal=200.1.1.1,remote=200.1.1.2,
local_proxy=172.16.0.0/255.255.0.0/0/0(type=4),
remote_proxy=192.168.0.0/255.255.0.0/0/0(type=4),
protocol=ESP,transform=NONE(Tunnel),
lifedur=3600sand4608000kb,
spi=0x0(0),conn_id=0,keysize=0,flags=0x0
*Jun517:
08:
59.535:
ISAKMP:
(0):
SArequestprofileis(NULL)
*Jun517:
08:
59.539:
ISAKMP:
Createdapeerstructfor200.1.1.2,peerport500
*Jun517:
08:
59.539:
ISAKMP:
Newpeercreatedpeer=0x653F9630peer_handle=0x80000005
*Jun517:
08:
59.543:
I
升级会员 