項目8VPN——企業(yè)總部和分支機構(gòu)建立IPSec隧道互通項目描述項目相關知識項目規(guī)劃設計項目實踐項目驗證項目拓展目錄項目描述項目描述鑒于某公司業(yè)務的持續(xù)增長，廣州總部與上海分部對于網(wǎng)絡互聯(lián)的需求日益凸顯。為確保兩地之間信息流通的暢通無阻，同時兼顧成本與安全性，公司經(jīng)過審慎評估，決定采用IPSecVPN技術，構(gòu)建一條虛擬專用網(wǎng)絡。該方案旨在確?？偛颗c分部之間能夠穩(wěn)定、高效地實現(xiàn)信息互通，滿足公司業(yè)務發(fā)展的需求。項目描述其項目拓撲如圖8-1所示。圖8-1項目拓撲項目相關知識8.1虛擬專用網(wǎng)絡概念虛擬專用網(wǎng)絡（VirtualPrivateNetwork，VPN）是一種通過公用網(wǎng)絡線路建立私有網(wǎng)絡，在不改變網(wǎng)絡的情況下提供安全可靠的連接，用于傳輸私有數(shù)據(jù)的技術。VPN相比于傳統(tǒng)網(wǎng)絡，具有價格低廉和安全性高的特點。VPN具有以下兩個基本特征：虛擬（Virtual）用戶不需要在物理上部署線路，而是利用運營商的線路，在公共網(wǎng)絡（如互聯(lián)網(wǎng)）上建立一個邏輯上的私有、隔離的網(wǎng)絡。專用（Private）該網(wǎng)絡只為特定的用戶或組織提供訪問權(quán)限，并且用戶可以制定符合自己需求的VPN網(wǎng)絡，如選擇使用的協(xié)議、加密方法、身份驗證機制等。8.1虛擬專用網(wǎng)絡概念其應用場景如圖8-2所示。圖8-2

VPN應用場景8.1虛擬專用網(wǎng)絡概念不同VPN使用不同的協(xié)議，各個協(xié)議工作在OSI七層模型的不同層上面，如圖8-3所示：圖8-3VPN協(xié)議工作層面圖8.2GRE隧道技術路由封裝協(xié)議（GenericRoutingEncapsulation，GRE）能夠?qū)δ承┚W(wǎng)絡層協(xié)議（如IP和IPX）的數(shù)據(jù)報進行封裝，使這些被封裝的數(shù)據(jù)報能夠在另一個網(wǎng)絡層協(xié)議（如IP）中傳輸，從而解決報文跨越異種網(wǎng)絡進行傳輸?shù)膯栴}。GRE采用了Tunnel（隧道）技術，是VPN的第三層隧道協(xié)議。異種報文傳輸?shù)耐ǖ婪Q為Tunnel，即“隧道”。它是一個虛擬的點對點連接，提供了一條通路使封裝的數(shù)據(jù)報文能夠在這個通路上傳輸，請求在一個Tunnel的兩端分別對數(shù)據(jù)報文進行封裝和解封裝。8.2GRE隧道技術GREVPN實現(xiàn)簡單，對隧道兩端設備負擔較小，能充分利用原有網(wǎng)絡架構(gòu)，支持多種協(xié)議、組播技術和QOS技術，能進行點對點或點對多點網(wǎng)絡的構(gòu)建。但同時，GREVPN也存在著缺乏加密機制和缺乏標準協(xié)議監(jiān)控GRE隧道的問題。如圖8-4所示。圖8-4GRE隧道示意圖8.3IPSec隧道技術IPSec（InternetProtocolSecurity）VPN是指采用IPSec協(xié)議來實現(xiàn)遠程接入的一種VPN技術。它能夠在公網(wǎng)上為兩個私有網(wǎng)絡提供安全通信通道，通過加密通道來保證傳輸數(shù)據(jù)的安全。IPSec是一種開放標準的框架結(jié)構(gòu)，它并不是一種協(xié)議，而是一系列為IP網(wǎng)絡提供安全性的協(xié)議和服務集。因此，它能夠通過特定的通信方之間在IP層通過加密和數(shù)據(jù)摘要(Hash)等手段，來保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時的私密性、完整性和真實性。但IPSec只能工作在IP層，并要求乘客協(xié)議和承載協(xié)議都是IP協(xié)議。8.3IPSec隧道技術IPSec通過加密與驗證等方式，能為用戶提供以下幾種安全服務：身份認證：對接收的數(shù)據(jù)進行驗證，保證數(shù)據(jù)的真實性。數(shù)據(jù)加密：對傳輸?shù)臄?shù)據(jù)進行加密，以密文的方式在Internet中傳輸。數(shù)據(jù)完整性：對接受的數(shù)據(jù)進行判斷，判斷其在公網(wǎng)傳輸中是否被篡改（如刪除、添加及修改數(shù)據(jù)）。數(shù)據(jù)抗重放：對重復接收的數(shù)據(jù)進行丟棄，防止惡意用戶通過重復發(fā)送捕獲的數(shù)據(jù)包所進行的攻擊。8.4L2TP隧道技術L2TP（LayerTwoTunnelingProtocol）VPN是一種在二層網(wǎng)絡層面實現(xiàn)的虛擬隧道技術，它可以利用公共網(wǎng)絡（ISDN或PSTN）的撥號功能接入公共網(wǎng)絡，實現(xiàn)虛擬專用網(wǎng)功能。L2TP協(xié)議本身不提供加密與可靠性驗證的功能，但它具有靈活的身份驗證機制，可以與其他協(xié)議結(jié)合使用，以提供認證功能。L2TP僅能對PPP數(shù)據(jù)幀進行封裝，將PPP數(shù)據(jù)幀封裝在UDP報文中，然后在IP網(wǎng)絡中傳輸。L2TP協(xié)議結(jié)合了PPTP和L2F兩種協(xié)議，采用端口UDP端口1701來建立和維護虛擬隧道。8.4L2TP隧道技術在L2TP中，存在三種角色：用戶（Client）、LATP訪問集中器（LAC）和L2TP網(wǎng)絡服務器（LNS）。用戶通過PPP撥號到LAC上，LAC通過L2TP隧道將報文透明傳輸?shù)絃NS，LNS在收到報文后與用戶進行驗證。如圖8-5所示。圖8-5L2TP隧道示意圖8.5IPSec隧道和GRE隧道嵌套VPN隧道嵌套通常是指在一個VPN隧道內(nèi)部再建立一個VPN隧道，這種嵌套模式可以實現(xiàn)更加復雜的網(wǎng)絡架構(gòu)和安全策略。IPSEC/GRE/L2TP可以嵌套使用，有四種嵌套模型：在VPN嵌套中，不同嵌套方式的配置會有所不同；在GRE和L2TP單獨使用時配置沒有區(qū)別。GREoverIPSECIPSECoverGREL2TPoverIPSECIPSECoverL2TP8.5IPSec隧道和GRE隧道嵌套部分VPN隧道嵌套模型如圖8-6所示。圖8-6部分VPN隧道嵌套圖項目規(guī)劃設計項目規(guī)劃設計在本項目中，使用4臺路由器和2臺PC來構(gòu)建總部和分部之間的網(wǎng)絡。R1和R4分別作為總部和分部的出口路由，R2和R3作為運營商路由器，通過在R1和R4上搭建IPSecVPN隧道來建立一個虛擬、安全的私有網(wǎng)絡，提高信息傳輸?shù)陌踩?。其網(wǎng)絡拓撲如圖8-7所示。圖8-7網(wǎng)絡拓撲圖項目規(guī)劃設計具體配置步驟如下。（1）部署企業(yè)局域網(wǎng)，實現(xiàn)總部、分部內(nèi)部的網(wǎng)絡互聯(lián)互通。（2）部署路由協(xié)議，實現(xiàn)總部和分部的的網(wǎng)絡互聯(lián)互通。（3）配置IPSecVPN隧道：實現(xiàn)總部和分部專用網(wǎng)絡的建立。項目規(guī)劃設計根據(jù)圖8-7所示拓撲圖進行項目的業(yè)務規(guī)劃，項目8的端口互聯(lián)規(guī)劃、IP規(guī)劃、IPSec參數(shù)規(guī)劃見表8-1~表8-3。表8-1項目8端口互聯(lián)規(guī)劃表本端設備本端端口端口配置對端設備對端端口R1G0/0-R2G0/0R1G0/1-PC1Eth0/1R2G0/0-R1G0/0R2G0/1-R3G0/1R3G0/0-R4G0/0項目規(guī)劃設計根據(jù)圖8-7所示拓撲圖進行項目的業(yè)務規(guī)劃，項目8的端口互聯(lián)規(guī)劃、IP規(guī)劃、IPSec參數(shù)規(guī)劃見表8-1~表8-3。表8-1項目8端口互聯(lián)規(guī)劃表本端設備本端端口端口配置對端設備對端端口R3G0/1-R2G0/1R4G0/0-R3G0/0R4G0/1-PC2Eth0項目規(guī)劃設計根據(jù)圖8-7所示拓撲圖進行項目的業(yè)務規(guī)劃，項目8的端口互聯(lián)規(guī)劃、IP規(guī)劃、IPSec參數(shù)規(guī)劃見表8-1~表8-3。表8-2項目8IP規(guī)劃表設備接口IP地址用途R1G0/010.10.10.1/24互聯(lián)網(wǎng)網(wǎng)址G0/1192.168.10.254/24局域網(wǎng)用戶網(wǎng)關R2G0/010.10.10.2/24互聯(lián)網(wǎng)網(wǎng)址G0/110.10.20.1/24互聯(lián)網(wǎng)網(wǎng)址R3G0/010.10.30.2/24互聯(lián)網(wǎng)網(wǎng)址G0/110.10.20.2/24互聯(lián)網(wǎng)網(wǎng)址項目規(guī)劃設計根據(jù)圖8-7所示拓撲圖進行項目的業(yè)務規(guī)劃，項目8的端口互聯(lián)規(guī)劃、IP規(guī)劃、IPSec參數(shù)規(guī)劃見表8-1~表8-3。表8-2項目8IP規(guī)劃表設備接口IP地址用途R4G0/010.10.30.1/24互聯(lián)網(wǎng)網(wǎng)址G0/1192.168.20.254/24局域網(wǎng)用戶網(wǎng)關PC1Eth0192.168.10.1/24局域網(wǎng)用戶網(wǎng)址PC2Eth0192.168.20.1/24局域網(wǎng)用戶網(wǎng)址項目規(guī)劃設計根據(jù)圖8-7所示拓撲圖進行項目的業(yè)務規(guī)劃，項目8的端口互聯(lián)規(guī)劃、IP規(guī)劃、IPSec參數(shù)規(guī)劃見表8-1~表8-3。表8-3項目8IPSec參數(shù)規(guī)劃表VPN通道名稱和預共享密碼isakmp策略感興趣流廣州-上海Jan161認證方式pre-share101加密方式3desDH組2項目實踐任務8-1部署企業(yè)局域網(wǎng)任務8-1部署企業(yè)局域網(wǎng)任務描述本任務中，要實現(xiàn)公司總部與分部各自的網(wǎng)絡內(nèi)設備和終端正常通信，任務的配置如下。1.IP地址配置：為PC、交換機、路由器和服務器配置IP地址。任務8-1部署企業(yè)局域網(wǎng)任務操作1.IP地址配置（1）在路由器R1上配置IP地址。Ruijie>enable//進入特權(quán)模式Ruijie#config

terminal//進入全局模式Ruijie(config)#hostname

R1//將交換機名稱更改為R1R1(config)#interfacegigabitEtherne0/0//進入G0/0接口R1(config-if-GigabitEthernet0/0)#ipaddress10.10.10.1255.255.255.0//配置IP地址R1(config-if-GigabitEthernet0/0)#exit//退出任務8-1部署企業(yè)局域網(wǎng)任務操作1.IP地址配置（1）在路由器R1上配置IP地址。R1(config)#interfacegigabitEtherne0/1//進入G0/1接口R1(config-if-GigabitEthernet0/1)#ipaddress192.168.10.254255.255.255.0//配置IP地址R1(config-if-GigabitEthernet0/1)#exit//退出任務8-1部署企業(yè)局域網(wǎng)任務操作1.IP地址配置（2）在路由器R4上配置IP地址。Ruijie>enable//進入特權(quán)模式Ruijie#config

terminal//進入全局模式Ruijie(config)#hostname

R4//將交換機名稱更改為R4R4(config)#interfacegigabitEtherne0/0//進入G0/0接口R4(config-if-GigabitEthernet0/0)#ipaddress10.10.30.1

255.255.255.0//配置IP地址R4(config-if-GigabitEthernet0/0)#exit//退出任務8-1部署企業(yè)局域網(wǎng)任務操作1.IP地址配置（2）在路由器R4上配置IP地址。R4(config)#interfacegigabitEtherne0/1//進入G0/1接口R4(config-if-GigabitEthernet0/1)#ipaddress192.168.20.254255.255.255.0//配置IP地址R4(config-if-GigabitEthernet0/1)#exit//退出任務8-1部署企業(yè)局域網(wǎng)任務驗證（1）在路由器R1使用【showipinterfacebrief】命令查看接口IP的配置情況，如下所示?？梢圆榭吹浇涌诘腎P地址。R1(config)#showipinterfacebriefInterfaceIP-Address(Pri)IP-Address(Sec)StatusProtocolGigabitEthernet0/010.10.10.1/24noaddressupupGigabitEthernet0/1192.168.10.254/24noaddressupup任務8-1部署企業(yè)局域網(wǎng)任務驗證（2）在路由器R4使用【showipinterfacebrief】命令查看接口IP的配置情況，如下所示。可以查看到接口的IP地址。R4(config)#showipinterfacebriefInterfaceIP-Address(Pri)IP-Address(Sec)StatusProtocolGigabitEthernet0/010.10.30.1/24noaddressupupGigabitEthernet0/1192.168.20.254/24noaddressupup任務8-2部署互聯(lián)網(wǎng)任務8-2部署互聯(lián)網(wǎng)任務描述本任務中，要實現(xiàn)互聯(lián)網(wǎng)路由器R2、R3的基礎配置，各設備和終端正常通信，任務的配置如下。1.IP地址配置：為互聯(lián)網(wǎng)路由器配置IP地址。任務8-2部署互聯(lián)網(wǎng)任務操作1.IP地址配置（1）在路由器R2上配置IP地址。Ruijie>enable//進入特權(quán)模式Ruijie#config

terminal//進入全局模式Ruijie(config)#hostname

R2//將交換機名稱更改為R2R2(config)#interfacegigabitEtherne0/0//進入G0/0接口R2(config-if-GigabitEthernet0/0)#ipaddress10.10.10.2255.255.255.0//配置IP地址R2(config-if-GigabitEthernet0/0)#exit//退出任務8-2部署互聯(lián)網(wǎng)任務操作1.IP地址配置（1）在路由器R2上配置IP地址。R2(config)#interfacegigabitEtherne0/1//進入G0/1接口R2(config-if-GigabitEthernet0/1)#ipaddress10.10.20.1255.255.255.0//配置IP地址R2(config-if-GigabitEthernet0/1)#exit//退出任務8-2部署互聯(lián)網(wǎng)任務操作1.IP地址配置（2）在路由器R3上配置IP地址。Ruijie>enable//進入特權(quán)模式Ruijie#config

terminal//進入全局模式Ruijie(config)#hostname

R3//將交換機名稱更改為R3R3(config)#interfacegigabitEtherne0/0//進入G0/0接口R3(config-if-GigabitEthernet0/0)#ipaddress10.10.30.2255.255.255.0//配置IP地址R3(config-if-GigabitEthernet0/0)#exit//退出任務8-2部署互聯(lián)網(wǎng)任務操作1.IP地址配置（2）在路由器R3上配置IP地址。R3(config)#interfacegigabitEtherne0/1//進入G0/1接口R3(config-if-GigabitEthernet0/1)#ipaddress10.10.20.2255.255.255.0//配置IP地址R3(config-if-GigabitEthernet0/1)#exit//退出任務8-2部署互聯(lián)網(wǎng)任務驗證（1）在路由器R2使用【showipinterfacebrief】命令查看接口IP的配置情況，如下所示?？梢圆榭吹浇涌诘腎P地址。R2#showipinterfacebriefInterfaceIP-Address(Pri)IP-Address(Sec)StatusProtocolGigabitEthernet0/010.10.10.2/24noaddressupupGigabitEthernet0/110.10.20.1/24noaddressupup任務8-2部署互聯(lián)網(wǎng)任務驗證（2）在路由器R3使用【showipinterfacebrief】命令查看接口IP的配置情況，如下所示?？梢圆榭吹浇涌诘腎P地址。R3#showipinterfacebriefInterfaceIP-Address(Pri)IP-Address(Sec)StatusProtocolGigabitEthernet0/010.10.30.2/24noaddressupupGigabitEthernet0/110.10.20.2/24noaddressupup任務8-3部署路由協(xié)議任務8-3部署路由協(xié)議任務描述本任務中，要實現(xiàn)公司總部與分部的網(wǎng)絡進行互聯(lián)，各設備和終端正常通信，任務的配置如下。1.路由配置：在路由器上配置OSPF路由協(xié)議和靜態(tài)路由。任務8-3部署路由協(xié)議任務操作1.路由配置（1）在路由器R1上配置OSPF路由協(xié)議。R1(config)#router

ospf1//創(chuàng)建進程號為1的OSPF進程R1(config-router)#router-id1.1.1.1//配置OSPF的Router-idR1(config-router)#network10.10.10.00.0.0.255area0//宣告網(wǎng)段10.10.10.0/24區(qū)域號為0R1(config-router)#exit//退出R1(config)#iproute0.0.0.00.0.0.010.10.10.2//配置默認路由任務8-3部署路由協(xié)議任務操作1.路由配置（2）在路由器R2上配置OSPF路由協(xié)議和靜態(tài)路由。R2(config)#router

ospf1//創(chuàng)建進程號為1的OSPF進程R2(config-router)#router-id2.2.2.2//配置OSPF的Router-idR2(config-router)#network10.10.10.00.0.0.255area0//宣告網(wǎng)段10.10.10.0/24區(qū)域號為0R2(config-router)#network10.10.20.00.0.0.255area0//宣告網(wǎng)段10.10.20.0/24區(qū)域號為0R2(config-router)#exit//退出任務8-3部署路由協(xié)議任務操作1.路由配置（3）在路由器R3上配置OSPF路由協(xié)議。R3(config)#router

ospf1//創(chuàng)建進程號為1的OSPF進程R3(config-router)#router-id3.3.3.3//配置OSPF的Router-idR3(config-router)#network10.10.20.00.0.0.255area0//宣告網(wǎng)段10.10.20.0/24區(qū)域號為0R3(config-router)#network10.10.30.00.0.0.255area0//宣告網(wǎng)段10.10.30.0/24區(qū)域號為0R3(config-router)#exit//退出任務8-3部署路由協(xié)議任務操作1.路由配置（4）在路由器R4上配置OSPF路由協(xié)議。R4(config)#router

ospf1//創(chuàng)建進程號為1的OSPF進程R4(config-router)#router-id4.4.4.4//配置OSPF的Router-idR4(config-router)#network10.10.30.00.0.0.255area0//宣告網(wǎng)段10.10.30.0/24區(qū)域號為0R4(config-router)#exit//退出R4(config)#iproute0.0.0.00.0.0.010.10.30.2//配置默認路由任務8-3部署路由協(xié)議任務驗證（1）在路由器R1使用【showiproute】命令查看路由表項，如下所示。R1#showiprouteCodes:C-Connected,L-Local,S-StaticR-RIP,O-OSPF,B-BGP,I-IS-IS,V-OverflowrouteN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2SU-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-2IA-Interarea,EV-BGPEVPN,A-ArptohostLA-Localaggregateroute*-candidatedefault任務8-3部署路由協(xié)議任務驗證（1）在路由器R1使用【showiproute】命令查看路由表項，如下所示。可以查看到路由表的路由信息。R1#showiprouteGatewayoflastresortis10.10.10.2tonetwork0.0.0.0S*0.0.0.0/0[1/0]via10.10.10.2C10.10.10.0/24isdirectlyconnected,GigabitEthernet0/0C10.10.10.1/32islocalhost.O10.10.20.0/24[110/2]via10.10.10.2,00:24:34,GigabitEthernet0/0O10.10.30.0/24[110/3]via10.10.10.2,00:24:25,GigabitEthernet0/0C192.168.10.0/24isdirectlyconnected,GigabitEthernet0/1C192.168.10.254/32islocalhost.任務8-3部署路由協(xié)議任務驗證（2）在路由器R2使用【showiproute】命令查看路由表項，如下所示。R2#showiprouteCodes:C-Connected,L-Local,S-StaticR-RIP,O-OSPF,B-BGP,I-IS-IS,V-OverflowrouteN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2SU-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-2IA-Interarea,EV-BGPEVPN,A-ArptohostLA-Localaggregateroute*-candidatedefault任務8-3部署路由協(xié)議任務驗證（2）在路由器R2使用【showiproute】命令查看路由表項，如下所示?？梢圆榭吹铰酚杀淼穆酚尚畔?。R2#showiprouteGatewayoflastresortisnosetC10.10.10.0/24isdirectlyconnected,GigabitEthernet0/0C10.10.10.2/32islocalhost.C10.10.20.0/24isdirectlyconnected,GigabitEthernet0/1C10.10.20.1/32islocalhost.O10.10.30.0/24[110/2]via10.10.20.2,00:24:50,GigabitEthernet0/1任務8-3部署路由協(xié)議任務驗證（3）在路由器R3使用【showiproute】命令查看路由表項，如下所示。R3#showiprouteCodes:C-Connected,L-Local,S-StaticR-RIP,O-OSPF,B-BGP,I-IS-IS,V-OverflowrouteN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2SU-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-2IA-Interarea,EV-BGPEVPN,A-ArptohostLA-Localaggregateroute*-candidatedefault任務8-3部署路由協(xié)議任務驗證（3）在路由器R3使用【showiproute】命令查看路由表項，如下所示?？梢圆榭吹铰酚杀淼穆酚尚畔?。R3#showiprouteGatewayoflastresortisnosetO10.10.10.0/24[110/2]via10.10.20.1,00:25:48,GigabitEthernet0/1C10.10.20.0/24isdirectlyconnected,GigabitEthernet0/1C10.10.20.2/32islocalhost.C10.10.30.0/24isdirectlyconnected,GigabitEthernet0/0C10.10.30.2/32islocalhost.任務8-3部署路由協(xié)議任務驗證（4）在路由器R4使用【showiproute】命令查看路由表項，如下所示。R4#showiprouteCodes:C-Connected,L-Local,S-StaticR-RIP,O-OSPF,B-BGP,I-IS-IS,V-OverflowrouteN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2SU-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-2IA-Interarea,EV-BGPEVPN,A-ArptohostLA-Localaggregateroute*-candidatedefault任務8-3部署路由協(xié)議任務驗證（4）在路由器R4使用【showiproute】命令查看路由表項，如下所示。可以查看到路由表的路由信息。R4#showiprouteGatewayoflastresortis10.10.30.2tonetwork0.0.0.0S*0.0.0.0/0[1/0]via10.10.30.2O10.10.10.0/24[110/3]via10.10.30.2,00:26:04,GigabitEthernet0/0O10.10.20.0/24[110/2]via10.10.30.2,00:26:04,GigabitEthernet0/0C10.10.30.0/24isdirectlyconnected,GigabitEthernet0/0C10.10.30.1/32islocalhost.C192.168.20.0/24isdirectlyconnected,GigabitEthernet0/1C192.168.20.254/32islocalhost.任務8-4部署IPSecVPN隧道任務8-4部署IPSecVPN隧道任務描述本任務中，要實現(xiàn)公司總部與分部的虛擬專用網(wǎng)絡連接，任務的配置如下。1.隧道配置：為總部和分部配置IPSecVPN隧道。任務8-4部署IPSecVPN隧道任務操作1.隧道配置（1）在R1配置靜態(tài)IPSecVPN隧道。R1(config)#access-list101permit

ip192.168.10.00.0.0.255192.168.20.00.0.0.255//配置感興趣流，源地址192.168.10.0/24網(wǎng)段，目的地址為

192.168.20.0/24網(wǎng)段R1(config)#crypto

isakmp

keepalive5periodic//配置IPSEC

DPD探測功能R1(config)#crypto

isakmp

policy1//創(chuàng)建新的ISAKMP策略R1(isakmp-policy)#authentication

pre-share//配置認證方式為PRE-SHARER1(isakmp-policy)#group2//設置DH組為2R1(isakmp-policy)#encryption3des//使用3DES進行加密任務8-4部署IPSecVPN隧道任務操作1.隧道配置（1）在R1配置靜態(tài)IPSecVPN隧道。R1(config)#crypto

isakmp

key0Jan16address10.10.30.1//配置VPN對端認證密鑰R1(config)#crypto

ipsec

transform-set

myset

esp-des

esp-md5-hmac//

IPSEC使用ESP封裝、DES加密、MD5認證R1(cfg-crypto-trans)#exit//退出R1(config)#crypto

map

Jan165ipsec-isakmp//創(chuàng)建名稱為“Jan16”的加密圖R1(config-crypto-map)#set

peer10.10.30.1//配置PEER地址R1(config-crypto-map)#set

transform-set

myset//配置加密轉(zhuǎn)換集“myset”R1(config-crypto-map)#match

address101//配置感興趣流為101任務8-4部署IPSecVPN隧道任務操作1.隧道配置（1）在R1配置靜態(tài)IPSecVPN隧道。R1(config)#int

gigabitEthernet0/0//進入G0/0接口R1(config-if-GigabitEthernet0/0)#

crypto

map

Jan16//將加密圖應用到接口上R1(config-if-GigabitEthernet0/0)#exit//退出任務8-4部署IPSecVPN隧道任務操作1.隧道配置（2）在R4配置靜態(tài)IPSecVPN隧道。R4(config)#access-list101permit

ip192.168.20.00.0.0.255192.168.10.00.0.0.255//配置感興趣流，源地址192.168.20.0/24網(wǎng)段，目的地址為

192.168.10.0/24網(wǎng)段R4(config)#crypto

isakmp

keepalive5periodic//配置IPSEC

DPD探測功能R4(config)#crypto

isakmp

policy1//創(chuàng)建新的ISAKMP策略R4(isakmp-policy)#authentication

pre-share//配置認證方式為PRE-SHARER4(isakmp-policy)#group2//設置DH組為2R4(isakmp-policy)#encryption3des//使用3DES進行加密任務8-4部署IPSecVPN隧道任務操作1.隧道配置（2）在R4配置靜態(tài)IPSecVPN隧道。R4(config)#crypto

isakmp

key0Jan16address10.10.10.1//配置VPN對端認證密鑰R4(config)#crypto

ipsec

transform-set

myset

esp-des

esp-md5-hmac//

IPSEC使用ESP封裝、DES加密、MD5認證R4(cfg-crypto-trans)#exit//退出R4(config)#crypto

map

Jan165ipsec-isakmp//創(chuàng)建名稱為“Jan16”的加密圖R4(config-crypto-map)#set

peer10.10.10.1//配置PEER地址R4(config-crypto-map)#set

transform-set

myset//配置加密轉(zhuǎn)換集“myset”R4(config-crypto-map)#match

address101//配置感興趣流為101任務8-4部署IPSecVPN隧道任務操作1.隧道配置（2）在R4配置靜態(tài)IPSecVPN隧道。R4(config)#int

gigabitEthernet0/0//進入G0/0接口R4(config-if-GigabitEthernet0/0)#

crypto

map

Jan16//將加密圖應用到接口上R4(config-if-GigabitEthernet0/0)#exit//退出任務8-4部署IPSecVPN隧道任務驗證（1）在路由器R1使用【showcryptoisakmpsa】命令查看isakmpsa協(xié)商情況，如下所示?？梢钥吹絀SAKMPSA已經(jīng)協(xié)商成功。R1#showcryptoisakmpsadestinationsourcestateconn-idlifetime(second)10.10.30.110.10.10.1IKE_IDLE081419任務8-4部署IPSecVPN隧道任務驗證（2）在路由器R1使用【showcryptoipsecsa】命令查看ipsecsa協(xié)商情況，如下所示。R1#showcryptoipsecsaInterface:GigabitEthernet0/0Cryptomaptag:Jan16localipv4addr10.10.10.1mediamtu1500任務8-4部署IPSecVPN隧道任務驗證（2）在路由器R1使用【showcryptoipsecsa】命令查看ipsecsa協(xié)商情況，如下所示。R1#showcryptoipsecsa==================================sub_maptype:static,seqno:5,id=0localident(addr/mask/prot/port):(192.168.10.0/0.0.0.255/0/0))remoteident(addr/mask/prot/port):(192.168.20.0/0.0.0.255/0/0))PERMIT#pktsencaps:11,#pktsencrypt:11,#pktsdigest11#pktsdecaps:7,#pktsdecrypt:7,#pktsverify7#senderrors0,#recverrors0任務8-4部署IPSecVPN隧道任務驗證（2）在路由器R1使用【showcryptoipsecsa】命令查看ipsecsa協(xié)商情況，如下所示。R1#showcryptoipsecsaInboundespsas:spi:0x3aa9ab0c(984197900)transform:esp-desesp-md5-hmacinusesettings={TunnelEncaps,}cryptomapJan165satiming:remainingkeylifetime(k/sec):(4606998/3216)IVsize:8bytesReplaydetectionsupport:Y任務8-4部署IPSecVPN隧道任務驗證（2）在路由器R1使用【showcryptoipsecsa】命令查看ipsecsa協(xié)商情況，如下所示?？梢钥吹絀PSECSA的建立情況。R1#showcryptoipsecsaOutboundespsas:spi:0x3b98548d(999838861)transform:esp-desesp-md5-hmacinusesettings={TunnelEncaps,}cryptomapJan165satiming:remainingkeylifetime(k/sec):(4606998/3216)IVsize:8bytesReplaydetectionsupport:Y項目驗證項目驗證(1)使用廣州總部的主機PC1Ping上海分部的主機PC2，如下所示。可以看到PC1能正常Ping通PC2。PC1>ping192.168.10.1正在Ping192.168.20.1具有32字節(jié)的數(shù)據(jù):來自192.168.20.1的回復:字節(jié)=32時間=2msTTL=64來自192.168.20.1的回復:字節(jié)=32時間=3msTTL=64來自192.168.20.1的回復:字節(jié)=32時間=2msTTL=64來自192.168.20.1的回復:字節(jié)=32時間=2msTTL=64192.168.20.1的Ping統(tǒng)計信息:數(shù)據(jù)包:已發(fā)送=4，已接收=4，丟失=0(0%丟失)，往返行程的估計時間(以毫秒為單位):最短=2ms，最長=3ms，平均=2ms項目驗證(2)使用上海分部的主機PC2Ping廣州總部的主機PC1，如下所示?？梢钥吹絇C2能正常Ping通PC1。PC1>ping