如图配置 两实验
R1模拟总部,R2 与R3模拟分部
实验一 
要求使用 IPSec VPN 主模式,使得总部与两分部内网可相互通讯

步骤:

1、  配置默认路由

[RT1]ip route-static 0.0.0.0 0 202.112.1.2

[RT2]ip route-static 0.0.0.0 0 67.61.1.2

[RT3]ip route-static 0.0.0.0 0 64.67.1.2

2、  IKE peer配置

[RT1]ike proposal 1

[RT1-ike-peer-rt2]exchange-mode main

[RT1-ike-peer-rt2]pre-shared-key simple cisco

[RT1-ike-peer-rt2]id-type ip

[RT1-ike-peer-rt2]proposal 1

[RT1-ike-peer-rt2]local-address 202.112.1.1

[RT1-ike-peer-rt2]remote-address 67.61.1.1

[RT1-ike-peer-rt3]exchange-mode main

RT1-ike-peer-rt3]pre-shared-key simple cisco

[RT1-ike-peer-rt3]local-address 202.112.1.1

[RT1-ike-peer-rt3]remote-address 64.67.1.1

[RT1-ike-peer-rt3]id-type ip

[RT1-ike-peer-rt3]proposal 2

[RT2-ike-peer-rt1]exchange-mode main

[RT2-ike-peer-rt1]proposal 1

[RT2-ike-peer-rt1]local-address 67.61.1.1

[RT2-ike-peer-rt1]remote-address 202.112.1.1

[RT2-ike-peer-rt1]pre-shared-key simple cisco

[RT2-ike-peer-rt1]id-type ip

[RT3-ike-peer-rt1]exchange-mode main

[RT3-ike-peer-rt1]pre-shared-key simple cisco

[RT3-ike-peer-rt1]local-address 64.67.1.1

[RT3-ike-peer-rt1]remote-address 202.112.1.1

3、  创建安全ACL

[RT1]acl number 3001 match-order config

[RT1-acl-adv-3001]rule permit ip source 192.168.1.0
0.0.0.255 destination 192.168.2.0 0.0.0.255

[RT2]acl number 3000 match-order config

[RT2-acl-adv-3000]rule permit ip source 192.168.2.0
0.0.0.255 destination 192.168.1.0 0.0.0.255

[RT3]acl number 3000 match-order config

[RT3-acl-adv-3000]rule permit ip source 192.168.3.0
0.0.0.255 destination 192.168.1.0 0.0.0.255

[RT1-acl-adv-3002]rule permit ip source 192.168.1.0
0.0.0.255 destination 192.168.3.0 0.0.0.255

4、  创建ipsec 安全提议

[RT1]ipsec proposal rt2

[RT1]ipsec proposal rt3

[RT2]ipsec proposal rt1

[RT3]ipsec proposal rt1

5、  创建Ipsec
policy

[RT1-ipsec-policy-isakmp-h3c-1]security acl 3001

[RT1-ipsec-policy-isakmp-h3c-1]proposal rt2

[RT1-ipsec-policy-isakmp-h3c-1]ike-peer rt2

[RT1-ipsec-policy-isakmp-h3c-2]security acl 3002

[RT1-ipsec-policy-isakmp-h3c-2]ike-peer rt3

[RT1-ipsec-policy-isakmp-h3c-2]proposal rt3

[RT2-ipsec-policy-isakmp-h3c-1]security acl 3000

[RT2-ipsec-policy-isakmp-h3c-1]ike-peer rt1

[RT2-ipsec-policy-isakmp-h3c-1]proposal rt1

[RT3-ipsec-policy-isakmp-h3c-1]security acl 3000

[RT3-ipsec-policy-isakmp-h3c-1]ike-peer rt1

[RT3-ipsec-policy-isakmp-h3c-1]proposal rt1

6、  接口上应用ipsec
policy

[RT1-GigabitEthernet0/0/0]ipsec policy h3c

[RT2-GigabitEthernet0/0/1]ipsec policy h3c

[RT3-GigabitEthernet0/0/2]ipsec policy h3c

7、  测试

192.168.1.100 ping 192.168.2.100

192.168.1.100 ping 192.168.3.100

RT1 IKE SA查看

RT1 ipsec SA查看

实验二
要求使用
IPSec VPN 野蛮模式,使得总部与两分部内网可相互通讯 (R2 R3两分部公网接口为动态获得地址情况)

步骤:

1、  配置静态路由

[RT1]ip route-static 0.0.0.0 0 202.112.1.2

[RT2]ip route-static 0.0.0.0 0 67.61.1.2

[RT3]ip route-static 0.0.0.0 0 64.67.1.2

2、  配置IKE Peer

[RT1-ike-peer-rt2]exchange-mode aggressive

[RT1-ike-peer-rt2]id-type name

[RT1-ike-peer-rt2]pre-shared-key simple cisco

[RT1-ike-peer-rt3]exchange-mode aggressive

[RT1-ike-peer-rt3]id-type name

[RT1-ike-peer-rt3]pre-shared-key simple cisco

[RT1-ike-peer-rt3]remote-name rt3

[RT2-ike-peer-rt1]exchange-mode aggressive

[RT2-ike-peer-rt1]id-type name

[RT2-ike-peer-rt1]remote-address 202.112.1.1

3、  配置ipsec
policy

[RT1-ipsec-policy-isakmp-h3c-1]security acl 3001

[RT1-ipsec-policy-isakmp-h3c-1]security acl 3001

[RT1-ipsec-policy-isakmp-h3c-1]proposal rt2

[RT1-ipsec-policy-isakmp-h3c-2]security acl 3002

[RT1-ipsec-policy-isakmp-h3c-2]ike-peer rt3

[RT1-ipsec-policy-isakmp-h3c-2]proposal rt3

[RT2-ipsec-policy-isakmp-h3c-1]security acl 3000

[RT2-ipsec-policy-isakmp-h3c-1]ike-peer rt1

[RT2-ipsec-policy-isakmp-h3c-1]proposal rt1

[RT2-ike-peer-rt1]pre-shared-key simple cisco

[RT3-ike-peer-rt1]exchange-mode aggressive

[RT3-ike-peer-rt1]id-type name

[RT3-ike-peer-rt1]remote-address 202.112.1.1

[RT3-ike-peer-rt1]remote-name rt1

[RT3-ike-peer-rt1]pre-shared-key simple cisco

[RT3-ipsec-policy-isakmp-h3c-1]security acl 3000

[RT3-ipsec-policy-isakmp-h3c-1]ike-peer rt1

[RT3-ipsec-policy-isakmp-h3c-1]proposal rt1

4、  接口应用ipsec policy

[RT1-GigabitEthernet0/0/0]ipsec policy h3c

[RT2-GigabitEthernet0/0/1]ipsec policy h3c

[RT3-GigabitEthernet0/0/2]ipsec policy h3c

5、  测试

192.168.2.100 ping 192.168.1.100

192.168.3.100 ping 192.168.1.100

RT1查看ike sa

RT1查看ipsec sa

RT2和RT3分别更换接口地址后测试,并在RT1查看IKE SA

SE 2014年5月25日的更多相关文章

  1. SE 2014年4月25日

    1. 描述 STP 的计算过程 (1.根桥的选举 2.端口角色的确定) 根桥的选举 启用STP后,网络中桥ID最小的交换机会被选为根桥,桥ID由桥优先级和桥MAC两部分组成,优先级默认为32768,首 ...

  2. SE 2014年5月5日

    如图配置 某企业网络规划图(三台交换设备/三台路由设备) 接入层 SW1 连接终端用户 汇聚层 SW2 SW3 核心层 R1 R2 R5 1. 如图 SW1 SW2 SW3 物理链路两两相连接,网络中 ...

  3. SE 2014年4月22日(一)

    实验 练习: 如图配置: 两自治系统 AS 100  和 AS 200 AS 100 是由两私有自治系统 (AS 65001 和 AS 65002)构成 要求配置BGP联盟 使得 R3 R4 R5 下 ...

  4. SE 2014 年4月21日(二)

    实验练习: 如图配置: 两BGP自治系统,要求建立相关BGP邻居关系 1. 建立BGP邻居关系 要求使用BGP对等体组完成(IBGP要求使用loopback接口作为TCP建立的源接口) 2. R3 R ...

  5. SE 2014 年4月21日(一)

    如图配置 网络中存在四个自治系统,设备之间要求建立BGP对等体关系,发布BGP路由,使得全网BGP路由相互通讯. 要求 1. 由于AS 200中的路由信息频繁抖动,所以AS 100 和 AS 300 ...

  6. SE 2014年4月18日

    实验需求:   R1 R2 R3用环回口建立IBGP对等体(使用对等体组),AS号为100                     R4 R5 R6用环回口建立IBGP对等体(使用对等体组),AS号为 ...

  7. SE 2014年3月31日

    一. 描述OSPF划分区域的优势. OSPF划分区域的优势主要表现在以下几个方面: 1. 当网络中路由器的数量增大时,划分区域有利于减轻一部分性能较低的设备的处理和维护LSA数据库. 2. 区域的划分 ...

  8. 2014年8月25日,收藏家和杀手——面向对象的C++和C(一)

    近期事情特别多,睡眠也都非常晚,有点精神和身体混乱的感觉,所以想写写技术分析文章.让两者的我都调整一下.这篇技术分析文章是一直想写的,当前仅仅是开篇,有感觉的时候就写写,属于拼凑而成,兴许的篇章没有时 ...

  9. 09.25日记(2014年9月25日23:22:06)用java这么多年面向对象我真的懂了吗,测试先行理念会玩吗

    二胡 (1)应该找些书来看看,工作N年并不代表就有N年的工作经验. (2)DiaTransit02,DiaDept02,DiaAirport02,DiaHighway02.都具有x,y属性为何不设计一 ...

随机推荐

  1. perl eval函数

    29.2.32 eval • eval BLOCK • eval EXPR • eval eval 关键字在Perl 里起两种不同的但相关的作用.这些目的是用两种形式的语法 来表现的, eval BL ...

  2. SQLiteLog (1) no such Column:

           今天在进入sqlite数据库查询的时候出现了这个问题,SQLiteLog (1) no such Column: BGZ 搜索得知这是因为数据库中没有这一列,我的sql语句为" ...

  3. hdu 2871 Memory Control(伸展树splay tree)

    hdu 2871 Memory Control 题意:就是对一个区间的四种操作,NEW x,占据最左边的连续的x个单元,Free x 把x单元所占的连续区间清空 , Get x 把第x次占据的区间输出 ...

  4. java内存模型与线程(转) good

    java内存模型与线程 参考 http://baike.baidu.com/view/8657411.htm http://developer.51cto.com/art/201309/410971_ ...

  5. jstorm简介(转)

    Jstorm是参考storm的实时流式计算框架,在网络IO.线程模型.资源调度.可用性及稳定性上做了持续改进,已被越来越多企业使用 作为commiter和user,我还是非常看好它的应用前景,下面是在 ...

  6. Oracle SQL语句执行过程

    前言 QQ群讨论的时候有人遇到这样的问题:where子句中无法访问Oracle自定义的字段别名.这篇 博客就是就这一问题做一个探讨,并发散下思维,谈谈SQL语句的执行顺序问题. 问题呈现 直接给出SQ ...

  7. Ajax - 异步处理(点击变成文本框并修改)

    效果: 对应的文档结构: Test.aspx 前台代码: 引入JQuery(jquery-1.8.3.min.js). 引入自己所写的JS代码(UserJS.js). <html xmlns=& ...

  8. VI01增强问题

    函数'SD_SCD_ITEM_PRICING_DATA_GET',其实在增强中和交货相关的数据在这个函数中都可以取到,没有必要再从LIKP.LIPS等等中重新取数. include程序RV64A631 ...

  9. Revit二次开发之绘制钢筋

    第一次在博客园上写东西,也不知道该写些什么,我想就写点最近项目到遇到的问题吧. 最近在做一个小项目,具体需求大概是在一个revit模型中的对应的楼板位置绘制钢筋. 由于刚接触Revit二次开发,之前也 ...

  10. tbb 线程安全concurrent_queue的性能

    tbb实现了线程安全的queue,这样程序员既可以不用和那些lock,mutex,criticalsection打交道,又大大提高性能,太给力了..比较的结果见代码中的注释.结果可以看出代码足足少一半 ...