综合实验（4）

文章目录

目录

文章目录

前言

实验配置

实验总结

总结

---

前言

Cisco IOS Site-to-Site VPN（虚拟专用网络）是一种通过公共网络（如互联网）建立安全连接的技术，使不同地理位置的局域网（LAN）能够安全通信。它基于IPSec（Internet Protocol Security）协议，提供数据加密、身份验证和完整性保护，确保传输的机密性和可靠性。

该技术适用于企业分支机构互联、云服务集成或远程办公场景，可替代昂贵的专线方案。Cisco IOS路由器支持灵活的VPN配置，包括预共享密钥或数字证书认证，适应不同规模网络需求。通过隧道模式封装原始数据包，有效防止中间人攻击和数据泄露。

Site-to-Site VPN的部署需协调两端设备参数，如加密算法、密钥交换方式（IKE）和路由设置。其优势在于低成本、高扩展性，同时保持企业级安全性，是跨区域网络互联的核心解决方案之一。

---

实验配置

1. R1路由器上连通性配置

R1(config)#interface e0/0

R1(config-if)#ip address 192.168.1.2 255.255.255.0

R1(config-if)#no shutdown

R1(config)#interface e1/0

R1(config-if)#ip address 10.1.20.1 255.255.255.0

R1(config-if)#no shutdown

R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1

1. R2路由器上连通性配置

R2(config)#interface e0/0

R2(config-if)#ip address 192.168.2.2 255.255.255.0

R2(config-if)#no shutdown

R2(config)#interface e1/0

R2(config-if)#ip address 10.1.36.1 255.255.255.0

R2(config-if)#no shutdown

R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1

1. R1 路由器IpSec配置

R1(config)#crypto isakmp enable (optional)默认启用

1. R1 路由器IpSec isakmp配置（阶段一的策略）

R1(config)#crypto isakmp policy 10

R1(config-isakmp)#hash md5

R1(config-isakmp)#authentication pre-share

R1(config-isakmp)#encryption 3des

R1(config-isakmp)#group 2

1. R1 路由器Pre-Share认证配置

R1(config)#crypto isakmp key cisco address 192.168.2.2

1. R1 路由器IpSec变换集配置（阶段二的策略）

R1(config)#crypto ipsec transform-set c1 esp-3des esp-md5-hmac

R1 (cfg-crypto-trans)#mode tunnel

1. R1路由器加密图的配置

R1(config)#crypto map c2 10 ipsec-isakmp

R1(config-crypto-map)#set peer 192.168.2.2

R1(config-crypto-map)#set transform-set c1

R1(config-crypto-map)#match address 101

1. R1路由器定义感兴趣流量

R1(config)#access-list 101 permit ip 10.1.20.0 0.0.0.255 10.1.36.0 0.0.0.255

1. R1路由器加密图绑定到接口

R1(config)#interface e0/0

R1(config-if)#crypto map c2

1. R2 路由器IpSec配置

R2(config)#crypto isakmp enable (optional)默认启用

1. R2 路由器IpSec isakmp配置（阶段一的策略）

R2(config)#crypto isakmp policy 10

R2(config-isakmp)#hash md5

R2(config-isakmp)#authentication pre-share

R2(config-isakmp)#encryption 3des

R2(config-isakmp)#group 2

1. R2 路由器Pre-Share认证配置

R2(config)#crypto isakmp key cisco address 192.168.1.2

1. R2 路由器IpSec变换集配置（阶段二的策略）

R2(config)#crypto ipsec transform-set c1 esp-3des esp-md5-hmac

R2(cfg-crypto-trans)#mode tunnel

1. R2路由器加密图的配置

R2(config)#crypto map c2 10 ipsec-isakmp

R2(config-crypto-map)#set peer 192.168.1.2

R2(config-crypto-map)#set transform-set c1

R2(config-crypto-map)#match address 101

1. R2 路由器定义感兴趣流量

R2(config)#access-list 101 permit ip 10.1.36.0 0.0.0.255 10.1.20.0 0.0.0.255

1. R2路由器加密图绑定到接口

R2(config)#interface e0/0

R2(config-if)#crypto map c2

四 实验总结

1、ping 10.1.20.1

2、show crypto ipsec sa

3、show crypto engine connections active

4、debug crypto isakmp

5、debug crypto ipsec

6. clear cryto sa 删除SA

---

总结

Cisco IOS Site-to-Site VPN 通过 IPSec 协议建立安全隧道，实现不同网络间的加密通信。配置包括定义加密策略（如 IKE 阶段 1 和阶段 2 参数）、设置访问控制列表（ACL）指定流量、应用加密映射到接口。支持预共享密钥或证书认证，确保数据完整性和机密性