实验拓扑:
实验目的 :
PC1 ping通 PC2
AR1 配置 静态路由 IP route-static 0.0.0.0 0 100.1.12.2
AR3 配置静态路由 IP route-static 0.0.0.0 0 100.1.13.2
AR1 :
一.配置网络密钥交换提议 ike proposal 1 设置身份认证算法为:sha1 authentication-algorithm sha1设置身份认证方式为(预共享密钥)pre-shareauthentication-method pre-share 设置加密算法为:aes-cbs -128encryption-algorithm aes-cbc-128dh group2二.配置ike对等体ike peer jjj配置传输模式为主模式(默认)exchange-mode main应用之前配置的ike 提议 ike proposal1配置预共享密钥pre-shared-key cipher 123配置远程地址 emote-address 100.1.13.1三.配置IPSec proposal ipsec proposal jjj配置安全协议的报文封装模式encapsulation-mode tunnel (隧道模式)(默认)指定ESP 协议参数 指定IPSec安全协议的认证算法esp authentication-algorithm sha1 指定IPsec安全协议的加密算法 esp encryption-algorithm aes-128四.使用高级acl抓取要使用IPSec加密的流量acl 3000rule 5 permit ip source 192.168.1.2 0 destination 192.168.2.2 0 五.配置IPSec安全策略 (配置名为jjj 策略号为 1 的 采用ike方式建立安全联盟的策略)ipsec policy jjj 1 isakmp security acl 3000 (指定受此策略保护的报文)
pfs dh-group2(在IKE阶段2协商中使用PFS (perfect forward security))
ike-peer jjj (指定ike peer )
proposal jjj (配置IPSec安全提议)六.应用安全策略组进入指定接口iinterface g/0/0/1 ipsec policy jjj(应用jjj 策略)AR3 :
一.配置网络密钥交换提议 ike proposal 1 设置身份认证算法为:sha1 authentication-algorithm sha1设置身份认证方式为(预共享密钥)pre-shareauthentication-method pre-share 设置加密算法为:aes-cbs -128encryption-algorithm aes-cbc-128dh group2二.配置ike对等体ike peer jjj配置传输模式为主模式(默认)exchange-mode main应用之前配置的ike 提议 ike proposal1配置预共享密钥pre-shared-key cipher 123配置远程地址 emote-address 100.1.12.1三.配置IPSec proposal ipsec proposal jjj配置安全协议的报文封装模式encapsulation-mode tunnel (隧道模式)(默认)指定ESP 协议参数 指定IPSec安全协议的认证算法esp authentication-algorithm sha1 指定IPsec安全协议的加密算法 esp encryption-algorithm aes-128四.使用高级acl抓取要使用IPSec加密的流量acl 3000rule 5 permit ip source 192.168.2.2 0 destination 192.168.1.2 0 五.配置IPSec安全策略 (配置名为jjj 策略号为 1 的 采用ike方式建立安全联盟的策略)ipsec policy jjj 1 isakmp security acl 3000 (指定受此策略保护的报文)
pfs dh-group2(在IKE阶段2协商中使用PFS (perfect forward security))
ike-peer jjj (指定ike peer )
proposal jjj (配置IPSec安全提议)六.应用安全策略组进入指定接口iinterface g/0/0/0 ipsec policy jjj(应用jjj 策略)最终pc1与pc2 可以互相ping 通
IKE两个阶段的包流量
可以看到pc1与pc2之间的通信已被ESP加密
