南京晓庄学院 数学与信息技术学院
网络安全 实验报告
实验名称: 实验五 IPsec-VPN的配置与管理 班 级: 学 号: 姓 名: 实验地点:
一、实验目的: 1. 理解VPN的概念及作用 2. 掌握IPsec VPN 的配置流程 3. 掌握Site-to-Site IPsec VPN 的配置 二、基本技能实验内容、要求和环境: 总部192.168.1.0/24.1F0/1R1210.33.44.1.0/30R2.1.2F0/0F0/0210.33.44.1.2/30210.33.45.0/30.2.1R3192.168.2.0/24.1F0/1分部日 期: 评定等级: F0/1F0/0PC1192.168.1.11/24WEB/FTP服务器192.168.1.13/24PC3192.168.2.2/24PC4192.168.2.3/24 图: “IPsec-VPN的配置和管理”实验拓扑 如图所示的网络拓扑,使用路由器作为VPN网关,实现总部与分部的Site to Site VPN访问。 实验实施建议: 1. 根据拓扑完成实验环境的连接。图中充当VPN网关的路由器要求支持VPN功能 2. ISAKMP的配置:SAKMP策略名,优先级,ISAKMP策略参数; (1) 总部VPN网关:策略为10, 认证为pre-share,HASH算法为sha,加密算法为AES 256,DH为1024位,即group 2,密钥为netlab,关联的生存时间为3600秒 (2) 分部的VPN网关的ISAKMP策略参数同总部VPN网关: 3. 配置IPsec: 变换组名、认证方式、加密方法、应用到哪个端口 (1) 总部VPN网关: 变换组名为50,认证方式为AES 256 CIPHER带ESP和SHA、加密方法为1024位、应用到F0/0端口 (2) 分部VPN网关: 变换组名为50,认证方式为AES 256 CIPHER带ESP和SHA、加密方法为1024位、应用到F0/0端口 三、实验步骤: 拓扑图: 主要配置: R1: R1(config)#crypto isakmp policy 10 R1(config-isakmp)#encryp aes 256 R1(config-isakmp)#authentication pre-share R1(config-isakmp)#group 2 R1(config-isakmp)#lifetime 3600 R1(config-isakmp)#cry R1(config-isakmp)#end R1#conf t R1(config)#crypto isakmp key netlab address 210.33.45.1 R1(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 R1(config)#crypto ipsec transform-set test ah-md5-hmac esp-des R1(config)#crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac R1(config)#crypto map mart 1 ipsec-isakmp R1(config-crypto-map)#set peer 210.33.45.1 R1(config-crypto-map)#set transform-set test R1(config-crypto-map)#match address 100 R1(config)#int f 0/0 R1(config-if)#crypto map mart *Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON R1(config-if)#int f 0/1 R1(config-if)#crypto map mart R1(config)#int tunnel 0 R1(config-if)#tunnel source f 0/1 R1(config-if)#tunnel destination 210.33.45.1 R1(config-if)#tunnel mo gre ip 1(config)#int tunnel 0 R1(config-if)#tunnel source R1(config)#ip route 192.168.2.0 255.255.255.0 192.168.1.0 R3: R3(config)#CRYpto isakmp policy 10 R3(config-isakmp)#enc aes 256 R3(config-isakmp)#authentication pre-share R3(config-isakmp)#group 2 R3(config-isakmp)#lifetime 3600 R3(config-isakmp)#end R3#conf t R3(config)#crypto isakmp key netlab address 210.33.44.1 R3(config)#int tunnel 0 R3(config-if)#tunnel source fa0/0 R3(config-if)#tunnel destination 210.33.44.1 R3(config-if)#tunnel mode gre ip R3(config-if)#ip rout R3(config-if)#exit R3(config)#ip route 192.168.2.0 255.255.255.0 tunnel 0 R3(config)#ip route 192.168.2.0 255.255.255.0 192.168.1.0 R3(config)#ip route 192.168.1.0 255.255.255.0 192.168.2.0 四、实验结果与分析 R1ping192.168.2.2: Sending5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 60/61/68 ms R1ping 192.168.2.3: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.2.3, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 48/60/72 ms !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 48/60/72 ms 五:思考题: VPN是虚拟专用网络的简称,是虚拟出来的企业内部专线,可以通过特殊的加密的通讯协议在连接在intenet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,VPN的核心就是在利用公共网络建立虚拟私有网。