VPN毕业论文 - 图文(8)

R2(config)#access-list 15 permit 10.2.0.0 0.0.255.255

6.10 IPSEC VPN的配置与实现

R1为总部网络出口路由器，上面启动IPSEC服务，R2为分部网络出口路由器，上面启动IPSEC服务， R1和R2建立隧道tunnel 0，通过IPSec VPN实现总部和分部网络加密互访。

主要设备的基本配置：[12]

R1为总部的网络的出口，在此设备上建立IPSEC VPN。

R1 (config)# crypto isakmp enable // 启动IKE（即ISAKMP） R1(config)#crypto isakmp policy 1 /IKE1阶段策略 R1(config-isakmp)#authentication pre-share /将验证修改为预共享 R1(config-isakmp)#encryption des /定义加密算法 R1(config-isakmp)#group 1 /定义加密组 R1(config-isakmp)#hash md5 /定义hash算法 R1(config-isakmp)#lifetime 86400 R1(config-isakmp)#ex

R1(config)#crypto isakmp key cisco123 address 172.1.2.2 /定义预共享密钥 R1(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac /定义2阶段的转换集

R1 (cfg-crypto-trans)# mode tunnel R1 (cfg-crypto-trans)# exit

R1(config)#access-list 102 permit ip 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255 /定义感兴趣流量

配置加密图（crypto map）：3 个参数绑定（IKE Peer、第二阶段策略（即IPSec 变换集）、感兴趣流量）

R1(config)#crypto my map 10 ipsec-isakmp /定义2阶段加密图 R1(config-crypto-map)#match address 102 /将列表应用到加密图 R1(config-crypto-map)#set peer 172.1.2.2 /指定对等体

R1(config-crypto-map)#set transform-set cisco /将转换集映射到加密图 R1(config)#interface e0/1

R1(config-if)#crypto my mymap /接口上应用加密图

R2为分部的网络的出口，在此设备上建立IPSEC VPN,配置大体跟R1类似。

31

7 测试结果

7.1 查看各设备的端口配置情况

输完配置命令后，用“show ip int bri”命令来查看各设备的端口配置情况以及端口的状态，配置结果如图7-1、图7-2、图7-3、图7-4、图7-5、图7-6所示。

图7-1 CORE1上端口配置查看

图7-2 CORE2上端口配置查看

32

图7-3 CORE3上端口配置查看

图7-4 R1上端口配置查看

图7-5 R2上端口配置查看

用路由器模拟Internet来进行网络连接，配置结果如图7-6所示。

图7-6 Internet上端口配置查看

7.2 VTP的配置结果

在CORE1上配置vtp client,在CORE2上配置vtp server,配置好VTP后，CORE1在没配置VLAN的情况下，通过学习，学习到了CORE2上的VLAN，用“show vlan-swi”命令查看CORE1上的VLAN配置，如图7-7所示，可以看到CORE1已经成功学习到CORE2

33

的VLAN。

图7-7 CORE1的vlan信息查看

7.3 OSPF的配置结果

OSPF协议不仅可以计算两个网络节点之间的最短路径，而且能计算通信开销。可

根据网络用户的要求来平衡费用和性能，来选择相应的路由。OSPF邻居建立如图7-8、图7-9、图7-10、图7-11、图7-12所示。

图7-8 CORE1上的OSPF邻居

图7-9 CORE2上的OSPF邻居

图7-10 CORE3上的OSPF邻居

图7-11 R1上的OSPF邻居

34

图7-12 R2上的OSPF邻居

7.4 HSRP测试结果

一旦主动路由器出现故障，HSRP 将激活备份路由器（Standby Routers）取代主动路由器。如果主动路由器出现故障，备份路由器（Standby Routers）承接主动路由器的所有任务，并且不会导致主机连通中断现象。CORE1、CORE2上的HSRP配置如图7-13、 图7-14所示。

图7-13 CORE1上的HSRP配置

图7-14 CORE2上的HSRP配置

7.5 IPSec测试结果

总部和分部IPSec已经成功建立，隧道也成功建立，如图7-15、图7-16、图7-17、图7-18所示。

图7-15 R1连接状态

35