如图配置 两实验
R1模拟总部,R2 与R3模拟分部
实验一 
要求使用 IPSec VPN 主模式,使得总部与两分部内网可相互通讯

步骤:

1、  配置默认路由

[RT1]ip route-static 0.0.0.0 0 202.112.1.2

[RT2]ip route-static 0.0.0.0 0 67.61.1.2

[RT3]ip route-static 0.0.0.0 0 64.67.1.2

2、  IKE peer配置

[RT1]ike proposal 1

[RT1-ike-peer-rt2]exchange-mode main

[RT1-ike-peer-rt2]pre-shared-key simple cisco

[RT1-ike-peer-rt2]id-type ip

[RT1-ike-peer-rt2]proposal 1

[RT1-ike-peer-rt2]local-address 202.112.1.1

[RT1-ike-peer-rt2]remote-address 67.61.1.1

[RT1-ike-peer-rt3]exchange-mode main

RT1-ike-peer-rt3]pre-shared-key simple cisco

[RT1-ike-peer-rt3]local-address 202.112.1.1

[RT1-ike-peer-rt3]remote-address 64.67.1.1

[RT1-ike-peer-rt3]id-type ip

[RT1-ike-peer-rt3]proposal 2

[RT2-ike-peer-rt1]exchange-mode main

[RT2-ike-peer-rt1]proposal 1

[RT2-ike-peer-rt1]local-address 67.61.1.1

[RT2-ike-peer-rt1]remote-address 202.112.1.1

[RT2-ike-peer-rt1]pre-shared-key simple cisco

[RT2-ike-peer-rt1]id-type ip

[RT3-ike-peer-rt1]exchange-mode main

[RT3-ike-peer-rt1]pre-shared-key simple cisco

[RT3-ike-peer-rt1]local-address 64.67.1.1

[RT3-ike-peer-rt1]remote-address 202.112.1.1

3、  创建安全ACL

[RT1]acl number 3001 match-order config

[RT1-acl-adv-3001]rule permit ip source 192.168.1.0
0.0.0.255 destination 192.168.2.0 0.0.0.255

[RT2]acl number 3000 match-order config

[RT2-acl-adv-3000]rule permit ip source 192.168.2.0
0.0.0.255 destination 192.168.1.0 0.0.0.255

[RT3]acl number 3000 match-order config

[RT3-acl-adv-3000]rule permit ip source 192.168.3.0
0.0.0.255 destination 192.168.1.0 0.0.0.255

[RT1-acl-adv-3002]rule permit ip source 192.168.1.0
0.0.0.255 destination 192.168.3.0 0.0.0.255

4、  创建ipsec 安全提议

[RT1]ipsec proposal rt2

[RT1]ipsec proposal rt3

[RT2]ipsec proposal rt1

[RT3]ipsec proposal rt1

5、  创建Ipsec
policy

[RT1-ipsec-policy-isakmp-h3c-1]security acl 3001

[RT1-ipsec-policy-isakmp-h3c-1]proposal rt2

[RT1-ipsec-policy-isakmp-h3c-1]ike-peer rt2

[RT1-ipsec-policy-isakmp-h3c-2]security acl 3002

[RT1-ipsec-policy-isakmp-h3c-2]ike-peer rt3

[RT1-ipsec-policy-isakmp-h3c-2]proposal rt3

[RT2-ipsec-policy-isakmp-h3c-1]security acl 3000

[RT2-ipsec-policy-isakmp-h3c-1]ike-peer rt1

[RT2-ipsec-policy-isakmp-h3c-1]proposal rt1

[RT3-ipsec-policy-isakmp-h3c-1]security acl 3000

[RT3-ipsec-policy-isakmp-h3c-1]ike-peer rt1

[RT3-ipsec-policy-isakmp-h3c-1]proposal rt1

6、  接口上应用ipsec
policy

[RT1-GigabitEthernet0/0/0]ipsec policy h3c

[RT2-GigabitEthernet0/0/1]ipsec policy h3c

[RT3-GigabitEthernet0/0/2]ipsec policy h3c

7、  测试

192.168.1.100 ping 192.168.2.100

192.168.1.100 ping 192.168.3.100

RT1 IKE SA查看

RT1 ipsec SA查看

实验二
要求使用
IPSec VPN 野蛮模式,使得总部与两分部内网可相互通讯 (R2 R3两分部公网接口为动态获得地址情况)

步骤:

1、  配置静态路由

[RT1]ip route-static 0.0.0.0 0 202.112.1.2

[RT2]ip route-static 0.0.0.0 0 67.61.1.2

[RT3]ip route-static 0.0.0.0 0 64.67.1.2

2、  配置IKE Peer

[RT1-ike-peer-rt2]exchange-mode aggressive

[RT1-ike-peer-rt2]id-type name

[RT1-ike-peer-rt2]pre-shared-key simple cisco

[RT1-ike-peer-rt3]exchange-mode aggressive

[RT1-ike-peer-rt3]id-type name

[RT1-ike-peer-rt3]pre-shared-key simple cisco

[RT1-ike-peer-rt3]remote-name rt3

[RT2-ike-peer-rt1]exchange-mode aggressive

[RT2-ike-peer-rt1]id-type name

[RT2-ike-peer-rt1]remote-address 202.112.1.1

3、  配置ipsec
policy

[RT1-ipsec-policy-isakmp-h3c-1]security acl 3001

[RT1-ipsec-policy-isakmp-h3c-1]security acl 3001

[RT1-ipsec-policy-isakmp-h3c-1]proposal rt2

[RT1-ipsec-policy-isakmp-h3c-2]security acl 3002

[RT1-ipsec-policy-isakmp-h3c-2]ike-peer rt3

[RT1-ipsec-policy-isakmp-h3c-2]proposal rt3

[RT2-ipsec-policy-isakmp-h3c-1]security acl 3000

[RT2-ipsec-policy-isakmp-h3c-1]ike-peer rt1

[RT2-ipsec-policy-isakmp-h3c-1]proposal rt1

[RT2-ike-peer-rt1]pre-shared-key simple cisco

[RT3-ike-peer-rt1]exchange-mode aggressive

[RT3-ike-peer-rt1]id-type name

[RT3-ike-peer-rt1]remote-address 202.112.1.1

[RT3-ike-peer-rt1]remote-name rt1

[RT3-ike-peer-rt1]pre-shared-key simple cisco

[RT3-ipsec-policy-isakmp-h3c-1]security acl 3000

[RT3-ipsec-policy-isakmp-h3c-1]ike-peer rt1

[RT3-ipsec-policy-isakmp-h3c-1]proposal rt1

4、  接口应用ipsec policy

[RT1-GigabitEthernet0/0/0]ipsec policy h3c

[RT2-GigabitEthernet0/0/1]ipsec policy h3c

[RT3-GigabitEthernet0/0/2]ipsec policy h3c

5、  测试

192.168.2.100 ping 192.168.1.100

192.168.3.100 ping 192.168.1.100

RT1查看ike sa

RT1查看ipsec sa

RT2和RT3分别更换接口地址后测试,并在RT1查看IKE SA

SE 2014年5月25日的更多相关文章

  1. SE 2014年4月25日

    1. 描述 STP 的计算过程 (1.根桥的选举 2.端口角色的确定) 根桥的选举 启用STP后,网络中桥ID最小的交换机会被选为根桥,桥ID由桥优先级和桥MAC两部分组成,优先级默认为32768,首 ...

  2. SE 2014年5月5日

    如图配置 某企业网络规划图(三台交换设备/三台路由设备) 接入层 SW1 连接终端用户 汇聚层 SW2 SW3 核心层 R1 R2 R5 1. 如图 SW1 SW2 SW3 物理链路两两相连接,网络中 ...

  3. SE 2014年4月22日(一)

    实验 练习: 如图配置: 两自治系统 AS 100  和 AS 200 AS 100 是由两私有自治系统 (AS 65001 和 AS 65002)构成 要求配置BGP联盟 使得 R3 R4 R5 下 ...

  4. SE 2014 年4月21日(二)

    实验练习: 如图配置: 两BGP自治系统,要求建立相关BGP邻居关系 1. 建立BGP邻居关系 要求使用BGP对等体组完成(IBGP要求使用loopback接口作为TCP建立的源接口) 2. R3 R ...

  5. SE 2014 年4月21日(一)

    如图配置 网络中存在四个自治系统,设备之间要求建立BGP对等体关系,发布BGP路由,使得全网BGP路由相互通讯. 要求 1. 由于AS 200中的路由信息频繁抖动,所以AS 100 和 AS 300 ...

  6. SE 2014年4月18日

    实验需求:   R1 R2 R3用环回口建立IBGP对等体(使用对等体组),AS号为100                     R4 R5 R6用环回口建立IBGP对等体(使用对等体组),AS号为 ...

  7. SE 2014年3月31日

    一. 描述OSPF划分区域的优势. OSPF划分区域的优势主要表现在以下几个方面: 1. 当网络中路由器的数量增大时,划分区域有利于减轻一部分性能较低的设备的处理和维护LSA数据库. 2. 区域的划分 ...

  8. 2014年8月25日,收藏家和杀手——面向对象的C++和C(一)

    近期事情特别多,睡眠也都非常晚,有点精神和身体混乱的感觉,所以想写写技术分析文章.让两者的我都调整一下.这篇技术分析文章是一直想写的,当前仅仅是开篇,有感觉的时候就写写,属于拼凑而成,兴许的篇章没有时 ...

  9. 09.25日记(2014年9月25日23:22:06)用java这么多年面向对象我真的懂了吗,测试先行理念会玩吗

    二胡 (1)应该找些书来看看,工作N年并不代表就有N年的工作经验. (2)DiaTransit02,DiaDept02,DiaAirport02,DiaHighway02.都具有x,y属性为何不设计一 ...

随机推荐

  1. 使用awk和grep做简单的统计

    grep 或 egrep 或awk 过滤两个或多个关键词: grep -E ‘123|abc’ filename // 找出文件(filename)中包含123或者包含abc的行 egrep ‘123 ...

  2. html,JavaScript调用winfrom方法

    ---恢复内容开始--- 目的: 在动画上面添加点击事件,通过JavaScript调用winfrom方法 1.创建一个页面 using System; using System.Collections ...

  3. PHP学习之-1.5 字符串

    字符串 一个字符串是用双引号扩起来的一个词或者一个句子,比如 "Hello Word" ,你可以使用PHP语言输入这个字符串,像这样 <?php echo "Hel ...

  4. Incompatible namespaceIDs或连接被对端重置异常的解决

    Workaround 1: Start from scratch I can testify that the following steps solve this error, but the si ...

  5. 如何在settings里的休眠模式里添加永不休眠

    最近项目需求里需要在设置菜单的休眠模式里添加一项永不休眠选择项.针对MTK平台的修改方式有如下几步骤.(其他平台和android原生系统的修改方式类似,只是android原生系统修改永不休眠需要通过设 ...

  6. 博弈论之Nim

    博弈论(一):Nim游戏 重点结论:对于一个Nim游戏的局面(a1,a2,...,an),它是P-position当且仅当a1^a2^...^an=0,其中^表示位异或(xor)运算. Nim游戏是博 ...

  7. 使用perf生成Flame Graph(火焰图)

      具体的步骤参见这里: <flame graph:图形化perf call stack数据的小工具>   使用SystemTap脚本制作火焰图,内存较少时,分配存储采样的数组可能失败,需 ...

  8. matlab中plot使用方法

    MATLAB有非常强的图形功能,能够方便地实现数据的视觉化.强大的计算功能与图形功能相结合为MATLAB在科学技术和教学方面的应用提供了更加广阔的天地.以下着重介绍二维图形的画法,对三维图形仅仅作简单 ...

  9. MMA7455加速度传感器測量角度

    使用加速度传感器应该注意几点: 第一:确保你的IIC是正确的: 第二,首先必须校准系统,校准方法,例如以下:将7455平放,保证z轴向下,这是假设系统是Ok的,那么x轴输出为0,y轴输出为0,z轴输出 ...

  10. ABAP函数:VIEW_MAINTENANCE_CALL(维护表视图等)

    function:VIEW_MAINTENANCE_CALL 功能:维护表视图等 The function module calls the extended table maintenance (V ...