版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
10/10华师大计算机网络实验报告华东师范大学计算机科学技术系上机实践报告
课程名称:计算机网络年级:上机实践成绩:
指导教师:陆刚姓名:创新实践成绩:
实验名称:IpsecVPN配置学号:上机实践日期:
座位编号:组号:上机实践时间:学时
一、实验目的
1.掌握IpsecVPN网络设计及配置方法
VPN主要分两种方式:
site-tosite站点到站点,多用于总部与分支办公室连接
access-vpn远程访问VPN,多用于移动用户与总部进行连接。
2.掌握使用CiscoPacketTracer模拟器设计网络
二、实验设备
1.Cisco2811路由器4台
2.计算机2台
3.交叉线、平行线(带DCE串口传输线)若干根
三、实验原理
虚拟专用网(VPN)用于在公共网络中建立安全的虚拟的私有网络。虚拟专用网指在ISP(InternetServiceProvider,Internet服务提供商)和其他NSP(NetworkServiceProvider,网络服务提供商)提供的公用网络中建立专用的数据通信网络的技术。在虚拟网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链接,而是利用公众网的资源动态组成,但能提供与传统专用网同等的安全性。
(一)实验拓扑
实验要求:保证4个站点的路由没问题,在站点A与站点B间配置VPN,保障两校区的网络通过互联网连接起来。(在没配置VPN时,PC1是不能与PC2相互Ping通)
(二)IP规划
第1页共11页
四、实验步骤
1.按照实验需求完成硬件设备的连接,完成拓扑图
ISP1路由器添加WIC-1T模块,首先关闭开关(不许带电操作),拖动WIC-1T模块放置到3口和2口处,再打开开关。如下图:
R1路由器添加WIC-1T模块,首先关闭开关(不许带电操作),拖动WIC-1T模块放置到3口处,再打开开关。如下图:
添加带DCE串口传输线时,DCE端先连接
2.IpSecVPN配置
1)配置路由器ISP1(路由器名称、接口地址、时钟频率等)
Router>en
Router#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#ints0/3/0//配置s0/3/0端口
Router(config-if)#noshut
%LINK-5-CHANGED:InterfaceSerial0/3/0,changedstatetodown
Router(config-if)#ipaddr202.120.80.2255.255.255.0
Router(config-if)#clockrate64000//在DCE端设置时钟速率
Router(config-if)#exit
Router(config)#ints0/2/0//配置s0/2/0端口
Router(config-if)#noshut
%LINK-5-CHANGED:InterfaceSerial0/2/0,changedstatetodown
Router(config-if)#ipaddr200.200.200.1255.255.255.0
Router(config-if)#clockrate64000//在DCE端设置时钟速率
Router(config-if)#exit
Router(config)#iproute0.0.0.00.0.0.0200.200.200.2//设置默认路由2)配置路由器ISP2(路由器名称、接口地址、时钟频率等)
Router>en
Router#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#ints0/3/0//配置s0/3/0端口
Router(config-if)#noshut
%LINK-5-CHANGED:InterfaceSerial0/3/0,changedstatetodown
Router(config-if)#ipaddr60.0.0.2255.255.255.0
Router(config-if)#clockrate64000//在DCE端设置时钟速率
Router(config-if)#exit
Router(config)#ints0/2/0//配置s0/2/0端口
Router(config-if)#noshut
Router(config-if)#
%LINK-5-CHANGED:InterfaceSerial0/2/0,changedstatetoup
%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/2/0,changedstatetoupRouter(config-if)#ipaddr200.200.200.2255.255.255.0
Router(config-if)#exit
Router(config)#iproute0.0.0.00.0.0.0200.200.200.1//设置默认路由
3)配置路由器R1(路由器名称、接口地址等)
Router>en
Router#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
第3页共11页
Router(config)#ints0/3/0//配置s0/3/0端口
Router(config-if)#noshut
Router(config-if)#
%LINK-5-CHANGED:InterfaceSerial0/3/0,changedstatetoup
%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/3/0,changedstatetoupRouter(config-if)#noshut
Router(config-if)#ipaddr202.120.80.1255.255.255.0
Router(config-if)#exit
Router(config)#intf0/0//配置f0/0端口
Router(config-if)#noshut
Router(config-if)#ipaddr192.168.10.1255.255.255.0
Router(config-if)#exit
Router(config)#iproute0.0.0.00.0.0.0202.120.80.2//设置默认路由
4)配置路由器R2(路由器名称、接口地址等)
Router>en
Router#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#ints0/3/0//配置s0/3/0端口
Router(config-if)#noshut
Router(config-if)#ipaddr60.0.0.1255.255.255.0
Router(config-if)#exit
Router(config)#intf0/0//配置f0/0端口
Router(config-if)#noshut
Router(config-if)#ipaddr192.168.20.1
%Incompletecommand.
Router(config-if)#iproute0.0.0.00.0.0.060.0.0.2//设置默认路由
5)路由器R1pSecVPN配置
Router(config)#crypto?
dynamic-mapSpecifyadynamiccryptomaptemplate
ipsecConfigureIPSECpolicy
isakmpConfigureISAKMPpolicy
keyLongtermkeyoperations
mapEnteracryptomap
第一步配置IKE协商
Router(config)#cryptoisakmppolicy10//建立IKE协商策略
Router(config-isakmp)#?
authenticationSetauthenticationmethodforprotectionsuite
encryptionSetencryptionalgorithmforprotectionsuite
exitExitfromISAKMPprotectionsuiteconfigurationmode
groupSettheDiffie-Hellmangroup
hashSethashalgorithmforprotectionsuite
lifetimeSetlifetimeforISAKMPsecurityassociation
noNegateacommandorsetitsdefaults
Router(config-isakmp)#encryption3des//设置IpSec协议加密算法3des
Router(config-isakmp)#group5
//产生出的KEY的长度:DHgroup1的长度是768位;DHgroup2的长度是1024位Router(config-isakmp)#hashmd5//设置密钥验证所用的算法
Router(config-isakmp)#authentication?
pre-sharePre-SharedKey
Router(config-isakmp)#authenticationpre-share//设置路由要使用的预先共享的密钥Router(config-isakmp)#exit
Router(config)#crypto?
dynamic-mapSpecifyadynamiccryptomaptemplate
ipsecConfigureIPSECpolicy
isakmpConfigureISAKMPpolicy
keyLongtermkeyoperations
mapEnteracryptomap
Router(config)#cryptoisakmpkeyciscoaddress60.0.0.1?
A.B.C.DPeerIPsubnetmask
Router(config)#cryptoisakmpkeyciscoaddress60.0.0.1
//设置共享密钥和对端地址,cisco是密钥
第二步配置IPSEC相关参数
Router(config)#cry
Router(config)#cryptoip
Router(config)#cryptoipsec?
security-associationSecurityassociationparameters
transform-setDefinetransformandsettings
Router(config)#cryptoipsectra
Router(config)#cryptoipsectransform-setTRAN?
ah-md5-hmacAH-HMAC-MD5transform
ah-sha-hmacAH-HMAC-SHAtransform
esp-3desESPtransformusing3DES(EDE)cipher(168bits)
esp-aesESPtransformusingAEScipher
esp-desESPtransformusingDEScipher(56bits)
esp-md5-hmacESPtransformusingHMAC-MD5auth
esp-sha-hmacESPtransformusingHMAC-SHAauth
Router(config)#cryptoipsectransform-setTRANesp-aesesp-sha
Router(config)#cryptoipsectransform-setTRANesp-aesesp-sha-hmac
//配置传输模式以及验证的算法和加密的的算法TRAN这里是给这个传输模式取个名字Router(config)#acc
Router(config)#access-list101per
第5页共11页
Router(config)#access-list101permitip192.168.10.00.0.0.255192.168.20.00.0.0.255
//定义访问控制列表
第三步应用配置到端口假设2个端口都是s0/3/0
Router(config)#cry
Router(config)#cryptomap
Router(config)#cryptomap?
WORDCryptomaptag
Router(config)#cryptomapMAP?
Router(config)#cryptomapMAP10
Router(config-crypto-map)#exit
Router(config)#cryptomapMAP10?
ipsec-isakmpIPSECw/ISAKMP
Router(config)#cryptomapMAP10ips
Router(config)#cryptomapMAP10ipsec-isakmp
//采用IKE协商,优先级为10这里的MAP是一个表的名字
Router(config-crypto-map)#?
descriptionDescriptionofthecryptomapstatementpolicy
exitExitfromISAKMPprotectionsuiteconfigurationmode
matchMatchvalues.
noNegateacommandorsetitsdefaults
setSetvaluesforencryption/decryption
Router(config-crypto-map)#set?
peerAllowedEncryption/Decryptionpeer.
pfsSpecifypfssettings
security-associationSecurityassociationparameters
transform-setSpecifylistoftransformsetsinpriorityorder
Router(config-crypto-map)#setpeer60.0.0.1//指定VPN链路对端的IP地址
Router(config-crypto-map)#settra
Router(config-crypto-map)#settransform-setTRAN//指定先前所定义的传输模式
Router(config-crypto-map)#mat
Router(config-crypto-map)#matchaddr
Router(config-crypto-map)#matchaddress101
//指定使用的反问控制列表,这里的MATCH是匹配的意思
Router(config-crypto-map)#exit
Router(config)#ints0/3/0
Router(config-if)#cry
Router(config-if)#cryptomapMAP//应用此表到端口
*Jan307:16:26.785:%CRYPTO-6-ISAKMP_ON_OFF:ISAKMPisON
Router(config-if)#exit
Router(config)#
6)路由器R2pSecVPN配置
Router>en
Router#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#cry
Router(config)#crypto?
dynamic-mapSpecifyadynamiccryptomaptemplate
ipsecConfigureIPSECpolicy
isakmpConfigureISAKMPpolicy
keyLongtermkeyoperations
mapEnteracryptomap
第一步配置IKE协商
Router(config)#cryptoisakmpenable
Router(config)#cryptoisakmppolicy10//建立IKE协商策略
Router(config-isakmp)#?
authenticationSetauthenticationmethodforprotectionsuite
encryptionSetencryptionalgorithmforprotectionsuite
exitExitfromISAKMPprotectionsuiteconfigurationmode
groupSettheDiffie-Hellmangroup
hashSethashalgorithmforprotectionsuite
lifetimeSetlifetimeforISAKMPsecurityassociation
noNegateacommandorsetitsdefaults
Router(config-isakmp)#encryption3des//设置IpSec协议加密算法3des
Router(config-isakmp)#group5
//产生出的KEY的长度:DHgroup1的长度是768位;DHgroup2的长度是1024位Router(config-isakmp)#hashmd5//设置密钥验证所用的算法
Router(config-isakmp)#au
Router(config-isakmp)#authentication?
pre-sharePre-SharedKey
Router(config-isakmp)#authenticationpre
Router(config-isakmp)#authenticationpre-share//设置路由要使用的预先共享的密钥Router(config-isakmp)#exit
Router(config)#cry
Router(config)#crypto?
dynamic-mapSpecifyadynamiccryptomaptemplate
ipsecConfigureIPSECpolicy
第7页共11页
isakmpConfigureISAKMPpolicy
keyLongtermkeyoperations
mapEnteracryptomap
Router(config)#cryptoisa
Router(config)#cryptoisakmp?
clientSetclientconfigurationpolicy
enableEnableISAKMP
keySetpre-sharedkeyforremotepeer
policySetpolicyforanISAKMPprotectionsuite
Router(config)#cryptoisakmpkey?
key
Router(config)#cryptoisakmpkey?
WORDTheUNENCRYPTED(cleartext)userpassword
Router(config)#cryptoisakmpkeyciscoad
Router(config)#cryptoisakmpkeyciscoaddress202.120.80.1?
A.B.C.DPeerIPsubnetmask
Router(config)#cryptoisakmpkeyciscoaddress202.120.80.1
//设置共享密钥和对端地址,cisco是密钥
第二步配置IPSEC相关参数
Router(config)#cry
Router(config)#cryptoip
Router(config)#cryptoipsec?
security-associationSecurityassociationparameters
transform-setDefinetransformandsettings
Router(config)#cryptoipsectr
Router(config)#cryptoipsectransform-setTRAN?
ah-md5-hmacAH-HMAC-MD5transform
ah-sha-hmacAH-HMAC-SHAtransform
esp-3desESPtransformusing3DES(EDE)cipher(168bits)
esp-aesESPtransformusingAEScipher
esp-desESPtransformusingDEScipher(56bits)
esp-md5-hmacESPtransformusingHMAC-MD5auth
esp-sha-hmacESPtransformusingHMAC-SHAauth
Router(config)#cryptoipsectransform-setTRANesp-aesesp-sha
Router(config)#cryptoipsectransform-setTRANesp-aesesp-sha-hmac
//配置传输模式以及验证的算法和加密的的算法TRAN这里是给这个传输模式取个名字
Router(config)#acc
Router(config)#access-list101per
Router(config)#access-list101permitip192.168.20.00.0.0.255192.168.10.00.0.0.255
//定义访问控制列表
第三步应用配置到端口假设2个端口都是s0/3/0
Router(config)#cry
Router(config)#cryptomap?
WORDCryptomaptag
Router(config)#cryptomapMAP?
Router(config)#cryptomapMAP10
CouldnotfindacryptomapentryMAP10tomodify
Router(config)#cryptomapMAP10?
ipsec-isakmpIPSECw/ISAKMP
Router(config)#cryptomapMAP10ips
Router(config)#cryptomapMAP10ipsec-isakmp
//采用IKE协商,优先级为10这里的MAP是一个表的名字%NOTE:Thisnewcryptomapwillremaindisableduntilapeer
andavalidaccesslisthavebeenconfigured.
Router(config-crypto-map)#?
descriptionDescriptionofthecryptomapstatementpolicy
exitExitfromISAKMPprotectionsuiteconfigurationmode
matchMatchvalues.
noNegateacommandorsetitsdefaults
setSetvaluesforencryption/decryption
Router(config-crypto-map)#set?
peerAllowedEncryption/Decryptionpeer.
pfsSpecifypfssettings
security-associationSecurityassociationparameters
transform-setSpecifylistoftransformsetsinpriorityorderRouter(config-crypto-map)#setpeer202.120.80.1//指定VPN链路对端的IP地址Router(config-crypto-map)#settra
Router(config-crypto-map)#settransform-setTRAN//指定先前所定义的传输模式Router(config-crypto-map)#mat
Router(config-crypto-map)#matchaddr
Router(config-crypto-map)#matchaddress101
//指定使用的反问控制列表,这里的MATCH是匹配的意思Router(config-crypto-map)#exit
Router(config)#ints0/3/0
Router(config-if)#xry
Router(config-if)#cry
Router(config-if)#cryptomapMAP//应用此表到端口
第9页共11页
*Jan307:16:26.785:%CRYPTO-6-ISAKMP_ON_OFF:ISAKMPisON
Router(config-if)#exit
Router(config)#
7)验证测试
五、实验结果总结
思考问题:
这个实验跟将Internet网模拟成直通线、ISP1模拟成华师大闵行校区、ISP2模拟成华师大中山校区、R1为模拟成闵行校区的某个内网1、R2为模拟成中山校区的某个内网2、主机A是内网1中的一台计算机、主机B是内网1中的一台计算机,通过这次实验实现主机A与主机B互通,并熟悉了VPN的相关知识及其作用。
1.只在在DCE端设置时钟速率,Router(config-if)#clockrate64000,在DTE处设置时钟速率
Router(config-if)#clockrate64000,会提示“ThiscommandappliesonlytoDCEinterfaces”
时钟速率设置越大,网络连接速率越快。
2.静态路由,iproute目标地址下一跳IP地址
Router(config)#iproute0.0.0.00.0.0.0200.200.200.2//设置默认路由
3.路由器pSecVPN配置步骤
第一步配置IKE协商
Router(config)#cryptoisakmppolicy10//建立IKE协商策略
Ro
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2022年山东省济南历下区重点名校中考化学五模试卷含解析
- 2022届贵州省安顺市重点达标名校中考四模化学试题含解析
- 2021-2022学年山东省聊城市冠县东古城镇中学中考化学五模试卷含解析
- 2022年上半年自考00896电子商务概论练习考题含解析
- 2022年秋10月全国自考电子商务概论模拟考题含解析
- 2022年10月《电子商务概论》全国自考试题含解析
- 2021年秋季高等教育自学考试全国统一命题考试电子商务概论试题含解析
- 2021-2022学年北京石景山中考化学四模试卷含解析
- 2022年山东省新泰市重点中学中考化学对点突破模拟试卷含解析
- 吉林省柳河县第三中学2021-2022学年中考化学对点突破模拟试卷含解析
- 建筑垃圾处理与再生利用项目实施建议书
- Therebe和have
- 卫生部抗菌药物临床应用分级管理目录(最新版)
- 关于集体建设用地流转的案例分析
- 三相电机正反转习题
- 油气层试油、测试技术发展史
- 国内外语音识别技术发展现状
- 路面基层允许弯沉值计算+弯沉系数图+允许弯沉值计算公式
- 多年父子成兄弟
- 投标人对自身承建本工程的有利条件的说明
- 粤教版二年级科学下册2.5我们离不开蔬菜(教案)
评论
0/150
提交评论