实验拓扑:
实验目的 :
PC1 ping通 PC2
AR1 配置 静态路由 IP route-static 0.0.0.0 0 100.1.12.2
AR3 配置静态路由 IP route-static 0.0.0.0 0 100.1.13.2
AR1 :
一.配置网络密钥交换提议
ike proposal 1
设置身份认证算法为:sha1
authentication-algorithm sha1
设置身份认证方式为(预共享密钥)pre-share
authentication-method pre-share
设置加密算法为:aes-cbs -128
encryption-algorithm aes-cbc-128
dh group2
二.配置ike对等体
ike peer jjj
配置传输模式为主模式(默认)
exchange-mode main
应用之前配置的ike 提议
ike proposal1
配置预共享密钥
pre-shared-key cipher 123
配置远程地址
emote-address 100.1.13.1
三.配置IPSec proposal
ipsec proposal jjj
配置安全协议的报文封装模式
encapsulation-mode tunnel (隧道模式)(默认)
指定ESP 协议参数
指定IPSec安全协议的认证算法
esp authentication-algorithm sha1
指定IPsec安全协议的加密算法
esp encryption-algorithm aes-128
四.使用高级acl抓取要使用IPSec加密的流量
acl 3000
rule 5 permit ip source 192.168.1.2 0 destination 192.168.2.2 0
五.配置IPSec安全策略
(配置名为jjj 策略号为 1 的 采用ike方式建立安全联盟的策略)
ipsec policy jjj 1 isakmp
security acl 3000 (指定受此策略保护的报文)
pfs dh-group2(在IKE阶段2协商中使用PFS (perfect forward security))
ike-peer jjj (指定ike peer )
proposal jjj (配置IPSec安全提议)
六.应用安全策略组
进入指定接口
iinterface g/0/0/1
ipsec policy jjj(应用jjj 策略)AR3 :
一.配置网络密钥交换提议
ike proposal 1
设置身份认证算法为:sha1
authentication-algorithm sha1
设置身份认证方式为(预共享密钥)pre-share
authentication-method pre-share
设置加密算法为:aes-cbs -128
encryption-algorithm aes-cbc-128
dh group2
二.配置ike对等体
ike peer jjj
配置传输模式为主模式(默认)
exchange-mode main
应用之前配置的ike 提议
ike proposal1
配置预共享密钥
pre-shared-key cipher 123
配置远程地址
emote-address 100.1.12.1
三.配置IPSec proposal
ipsec proposal jjj
配置安全协议的报文封装模式
encapsulation-mode tunnel (隧道模式)(默认)
指定ESP 协议参数
指定IPSec安全协议的认证算法
esp authentication-algorithm sha1
指定IPsec安全协议的加密算法
esp encryption-algorithm aes-128
四.使用高级acl抓取要使用IPSec加密的流量
acl 3000
rule 5 permit ip source 192.168.2.2 0 destination 192.168.1.2 0
五.配置IPSec安全策略
(配置名为jjj 策略号为 1 的 采用ike方式建立安全联盟的策略)
ipsec policy jjj 1 isakmp
security acl 3000 (指定受此策略保护的报文)
pfs dh-group2(在IKE阶段2协商中使用PFS (perfect forward security))
ike-peer jjj (指定ike peer )
proposal jjj (配置IPSec安全提议)
六.应用安全策略组
进入指定接口
iinterface g/0/0/0
ipsec policy jjj(应用jjj 策略)最终pc1与pc2 可以互相ping 通
IKE两个阶段的包流量
可以看到pc1与pc2之间的通信已被ESP加密
