如图配置 两实验
R1模拟总部,R2 与R3模拟分部
实验一 
要求使用 IPSec VPN 主模式,使得总部与两分部内网可相互通讯

步骤:

1、  配置默认路由

[RT1]ip route-static 0.0.0.0 0 202.112.1.2

[RT2]ip route-static 0.0.0.0 0 67.61.1.2

[RT3]ip route-static 0.0.0.0 0 64.67.1.2

2、  IKE peer配置

[RT1]ike proposal 1

[RT1-ike-peer-rt2]exchange-mode main

[RT1-ike-peer-rt2]pre-shared-key simple cisco

[RT1-ike-peer-rt2]id-type ip

[RT1-ike-peer-rt2]proposal 1

[RT1-ike-peer-rt2]local-address 202.112.1.1

[RT1-ike-peer-rt2]remote-address 67.61.1.1

[RT1-ike-peer-rt3]exchange-mode main

RT1-ike-peer-rt3]pre-shared-key simple cisco

[RT1-ike-peer-rt3]local-address 202.112.1.1

[RT1-ike-peer-rt3]remote-address 64.67.1.1

[RT1-ike-peer-rt3]id-type ip

[RT1-ike-peer-rt3]proposal 2

[RT2-ike-peer-rt1]exchange-mode main

[RT2-ike-peer-rt1]proposal 1

[RT2-ike-peer-rt1]local-address 67.61.1.1

[RT2-ike-peer-rt1]remote-address 202.112.1.1

[RT2-ike-peer-rt1]pre-shared-key simple cisco

[RT2-ike-peer-rt1]id-type ip

[RT3-ike-peer-rt1]exchange-mode main

[RT3-ike-peer-rt1]pre-shared-key simple cisco

[RT3-ike-peer-rt1]local-address 64.67.1.1

[RT3-ike-peer-rt1]remote-address 202.112.1.1

3、  创建安全ACL

[RT1]acl number 3001 match-order config

[RT1-acl-adv-3001]rule permit ip source 192.168.1.0
0.0.0.255 destination 192.168.2.0 0.0.0.255

[RT2]acl number 3000 match-order config

[RT2-acl-adv-3000]rule permit ip source 192.168.2.0
0.0.0.255 destination 192.168.1.0 0.0.0.255

[RT3]acl number 3000 match-order config

[RT3-acl-adv-3000]rule permit ip source 192.168.3.0
0.0.0.255 destination 192.168.1.0 0.0.0.255

[RT1-acl-adv-3002]rule permit ip source 192.168.1.0
0.0.0.255 destination 192.168.3.0 0.0.0.255

4、  创建ipsec 安全提议

[RT1]ipsec proposal rt2

[RT1]ipsec proposal rt3

[RT2]ipsec proposal rt1

[RT3]ipsec proposal rt1

5、  创建Ipsec
policy

[RT1-ipsec-policy-isakmp-h3c-1]security acl 3001

[RT1-ipsec-policy-isakmp-h3c-1]proposal rt2

[RT1-ipsec-policy-isakmp-h3c-1]ike-peer rt2

[RT1-ipsec-policy-isakmp-h3c-2]security acl 3002

[RT1-ipsec-policy-isakmp-h3c-2]ike-peer rt3

[RT1-ipsec-policy-isakmp-h3c-2]proposal rt3

[RT2-ipsec-policy-isakmp-h3c-1]security acl 3000

[RT2-ipsec-policy-isakmp-h3c-1]ike-peer rt1

[RT2-ipsec-policy-isakmp-h3c-1]proposal rt1

[RT3-ipsec-policy-isakmp-h3c-1]security acl 3000

[RT3-ipsec-policy-isakmp-h3c-1]ike-peer rt1

[RT3-ipsec-policy-isakmp-h3c-1]proposal rt1

6、  接口上应用ipsec
policy

[RT1-GigabitEthernet0/0/0]ipsec policy h3c

[RT2-GigabitEthernet0/0/1]ipsec policy h3c

[RT3-GigabitEthernet0/0/2]ipsec policy h3c

7、  测试

192.168.1.100 ping 192.168.2.100

192.168.1.100 ping 192.168.3.100

RT1 IKE SA查看

RT1 ipsec SA查看

实验二
要求使用
IPSec VPN 野蛮模式,使得总部与两分部内网可相互通讯 (R2 R3两分部公网接口为动态获得地址情况)

步骤:

1、  配置静态路由

[RT1]ip route-static 0.0.0.0 0 202.112.1.2

[RT2]ip route-static 0.0.0.0 0 67.61.1.2

[RT3]ip route-static 0.0.0.0 0 64.67.1.2

2、  配置IKE Peer

[RT1-ike-peer-rt2]exchange-mode aggressive

[RT1-ike-peer-rt2]id-type name

[RT1-ike-peer-rt2]pre-shared-key simple cisco

[RT1-ike-peer-rt3]exchange-mode aggressive

[RT1-ike-peer-rt3]id-type name

[RT1-ike-peer-rt3]pre-shared-key simple cisco

[RT1-ike-peer-rt3]remote-name rt3

[RT2-ike-peer-rt1]exchange-mode aggressive

[RT2-ike-peer-rt1]id-type name

[RT2-ike-peer-rt1]remote-address 202.112.1.1

3、  配置ipsec
policy

[RT1-ipsec-policy-isakmp-h3c-1]security acl 3001

[RT1-ipsec-policy-isakmp-h3c-1]security acl 3001

[RT1-ipsec-policy-isakmp-h3c-1]proposal rt2

[RT1-ipsec-policy-isakmp-h3c-2]security acl 3002

[RT1-ipsec-policy-isakmp-h3c-2]ike-peer rt3

[RT1-ipsec-policy-isakmp-h3c-2]proposal rt3

[RT2-ipsec-policy-isakmp-h3c-1]security acl 3000

[RT2-ipsec-policy-isakmp-h3c-1]ike-peer rt1

[RT2-ipsec-policy-isakmp-h3c-1]proposal rt1

[RT2-ike-peer-rt1]pre-shared-key simple cisco

[RT3-ike-peer-rt1]exchange-mode aggressive

[RT3-ike-peer-rt1]id-type name

[RT3-ike-peer-rt1]remote-address 202.112.1.1

[RT3-ike-peer-rt1]remote-name rt1

[RT3-ike-peer-rt1]pre-shared-key simple cisco

[RT3-ipsec-policy-isakmp-h3c-1]security acl 3000

[RT3-ipsec-policy-isakmp-h3c-1]ike-peer rt1

[RT3-ipsec-policy-isakmp-h3c-1]proposal rt1

4、  接口应用ipsec policy

[RT1-GigabitEthernet0/0/0]ipsec policy h3c

[RT2-GigabitEthernet0/0/1]ipsec policy h3c

[RT3-GigabitEthernet0/0/2]ipsec policy h3c

5、  测试

192.168.2.100 ping 192.168.1.100

192.168.3.100 ping 192.168.1.100

RT1查看ike sa

RT1查看ipsec sa

RT2和RT3分别更换接口地址后测试,并在RT1查看IKE SA

SE 2014年5月25日的更多相关文章

  1. SE 2014年4月25日

    1. 描述 STP 的计算过程 (1.根桥的选举 2.端口角色的确定) 根桥的选举 启用STP后,网络中桥ID最小的交换机会被选为根桥,桥ID由桥优先级和桥MAC两部分组成,优先级默认为32768,首 ...

  2. SE 2014年5月5日

    如图配置 某企业网络规划图(三台交换设备/三台路由设备) 接入层 SW1 连接终端用户 汇聚层 SW2 SW3 核心层 R1 R2 R5 1. 如图 SW1 SW2 SW3 物理链路两两相连接,网络中 ...

  3. SE 2014年4月22日(一)

    实验 练习: 如图配置: 两自治系统 AS 100  和 AS 200 AS 100 是由两私有自治系统 (AS 65001 和 AS 65002)构成 要求配置BGP联盟 使得 R3 R4 R5 下 ...

  4. SE 2014 年4月21日(二)

    实验练习: 如图配置: 两BGP自治系统,要求建立相关BGP邻居关系 1. 建立BGP邻居关系 要求使用BGP对等体组完成(IBGP要求使用loopback接口作为TCP建立的源接口) 2. R3 R ...

  5. SE 2014 年4月21日(一)

    如图配置 网络中存在四个自治系统,设备之间要求建立BGP对等体关系,发布BGP路由,使得全网BGP路由相互通讯. 要求 1. 由于AS 200中的路由信息频繁抖动,所以AS 100 和 AS 300 ...

  6. SE 2014年4月18日

    实验需求:   R1 R2 R3用环回口建立IBGP对等体(使用对等体组),AS号为100                     R4 R5 R6用环回口建立IBGP对等体(使用对等体组),AS号为 ...

  7. SE 2014年3月31日

    一. 描述OSPF划分区域的优势. OSPF划分区域的优势主要表现在以下几个方面: 1. 当网络中路由器的数量增大时,划分区域有利于减轻一部分性能较低的设备的处理和维护LSA数据库. 2. 区域的划分 ...

  8. 2014年8月25日,收藏家和杀手——面向对象的C++和C(一)

    近期事情特别多,睡眠也都非常晚,有点精神和身体混乱的感觉,所以想写写技术分析文章.让两者的我都调整一下.这篇技术分析文章是一直想写的,当前仅仅是开篇,有感觉的时候就写写,属于拼凑而成,兴许的篇章没有时 ...

  9. 09.25日记(2014年9月25日23:22:06)用java这么多年面向对象我真的懂了吗,测试先行理念会玩吗

    二胡 (1)应该找些书来看看,工作N年并不代表就有N年的工作经验. (2)DiaTransit02,DiaDept02,DiaAirport02,DiaHighway02.都具有x,y属性为何不设计一 ...

随机推荐

  1. 写程序取自己进程的AEP

    测试程序功能 打印出自己进程的程序入口点地址. 结合OD载入程序,看到的入口点确实是0x004014f0, 说明程序入口点找到了 测试程序 /// @file exam_1_1.c #include  ...

  2. android使用xfire webservice框架远程对sqlserver操作(包括增删改查)的实例!!已在真机上试验通过

    前两天,公司有一个利用android远程操作sqlserver的项目,对此我是毫无头绪的,但也挺感兴趣的,于是开始上网搜索方法,网上有挺多方法了,发现使用webservice的挺多的,不过我对这些技术 ...

  3. 【UVA】12299-RMQ with Shifts(线段树)

    改动的时候因为数据非常小,所以能够直接暴力改动,查询的时候利用线段树即可了. 14337858 option=com_onlinejudge&Itemid=8&page=show_pr ...

  4. FairScheduler的任务调度机制——assignTasks

    首先需要了解FairScheduler是如何在各个Pool之间分配资源,以及每个Pool如何在Job之间分配资源的.FairScheduler的分配资源发生在update()方法中,而该方法由一个线程 ...

  5. VC,一条会被鼠标移动的直线

    对话框中的小红线可以被移动的 一.类名是 CBinarizationDlg 二.定义两个变量BOOL m_flag;int nPos;在构造函数初始化m_flag = false;nPos=256;三 ...

  6. TApplication.Initialize的前世今生

    ---------------------------------------------------------------------------------------------------- ...

  7. 关于IOCP,某些地方就是不让人彻底舒服(WSASend重叠post数据)

    开门见山,直接就事论事. 假如有这么一个基于IOCP模型的Server,这个Server提供的所有服务中有这么一种服务……文件下载,我们再假设Server端存有一个20G的文件,客户端这时发送一个请求 ...

  8. Java Web Services (0) - Overview

    前言第1章 Web服务快速入门 1.1 Web服务杂项 1.2 Web服务有什么好处 1.3 Web服务和面向服务的架构 1.4 Web服务简史 1.4.1 从DCE/RPC到XML-RPC 1.4. ...

  9. Richard Stallman与洪峰谈黑客道培训实录_业界_科技时代_新浪网

    Richard Stallman与洪峰谈黑客道培训实录_业界_科技时代_新浪网 Richard Stallman与洪峰谈黑客道培训实录

  10. hdu 4284 Travel(floyd + TSP)

    虽然题中有n<=100个点,但实际上你必须走过的点只有H<=15个.而且经过任意点但不消耗C[i]跟D[i]可以为无限次,所以可以floyd预处理出H个点的最短路,之后剩下的...就成了裸 ...