Cisco 主模式配置

一、实验设备

1.Cisco二层路由器三台，PC测试机两台

二、实验拓扑图

三、实验配置

1.R1路由器连通性配置

Router(config)#int fastEthernet 0/0
Router(config-if)#ip address 192.168.1.2 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#int fastEthernet 1/0
Router(config-if)#ip add 10.1.20.1 255.255.255.0
Router(config-if)#no shut
Router(config)#exit
Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1

2.R2路由器连通性配置

Router(config)#int fa0/0
Router(config-if)#ip add 192.168.2.2 255.255.255.0
Router(config-if)#no shut
Router(config-if)#int fa1/0
Router(config-if)#ip add 10.1.36.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1

3.R3路由器连通性配置

Router#conf t
Router(config)#int fa0/0
Router(config-if)#ip add 192.168.1.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#int fa1/0
Router(config-if)#ip add 192.168.2.2 255.255.255.0
Router(config-if)#no shut

4.R1路由器IPSec isakmp配置（阶段一策略）

Router(config)#crypto isakmp policy 10
Router(config-isakmp)#hash md5
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#encryption 3des
Router(config-isakmp)#group 2

5.R1路由器Pre-Share认证配置

Router(config)#crypto isakmp key cisco address 192.168.2.2

6.R1路由器IPSec交换集配置（阶段二）

Router(config)#crypto ipsec transform-set c1 esp-3des esp-md5-hmac
Router(cfg-crypto-trans)#mode tunnel

7.R1路由器加密图的配置

Router(config)#crypto map c2 10 ipsec-isakmp
Router(config-crypto-map)#set peer 192.168.2.2
Router(config-crypto-map)#set transform-set c1
Router(config-crypto-map)#match address 101

8.R1路由器定义感兴趣流量

Router(config)#$ 101 permit ip 10.1.20.0 0.0.0.255 10.1.36.0 0.0.0.255

9.R1路由器加密图绑定到接口

Router(config)#int fa0/0
Router(config-if)#crypto map c2

10.R2同理

Router(config)#crypto isakmp enable
Router(config)#crypto isakmp policy 10
Router(config-isakmp)#hash md5
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#encryption 3des
Router(config-isakmp)#group 2
Router(config-isakmp)#exit
Router(config)#crypto isakmp key cisco address 192.168.1.2
Router(config)#crypto ipsec transform-set c1 esp-3des esp-md5-hmac
Router(cfg-crypto-trans)#mode tunnel
Router(cfg-crypto-trans)#exit
Router(config)#crypto map c2 10
Router(config)#crypto map c2 10 ipsec-isakmp
Router(config-crypto-map)#set peer 192.168.1.2
Router(config-crypto-map)#set transform-set c1
Router(config-crypto-map)#match address 101
Router(config-crypto-map)#exit
Router(config)#access-list 101 permit ip 10.1.36.0 0.0.0.255 10.1.20.0 0.0.0.255
Router(config)#int fa0/0
Router(config-if)#crypto map c2

四、实验总结

1.内网主机互相ping通

2.查看IPSec SA

抓包分析知

IPSec协议工作原理

IKE协商第一阶段总结（main mode）
第一阶段无论是主模式还是野蛮模式，目的都是产生ISAKMP，用IKE SA为产生第二阶段IPSec SA的ISAKMP消息交互过程进行保护。

• 1、2：IPSec实体双方交互SA载荷，选择相同ISAKMP消息的保护策略及认证方式，双方必须达成一致，否则第一阶段协商失败
• 3、4：IPSec实体双方交互DH算法的公共值及密钥计算材料，从而双方计算出一系列相同的密钥
• 5、6：5、6报文使用3、4报文交互后产生的相关密钥进行验证及加密处理。IPSec实体双方分别对对方进行验证，若使用pre-share key的验证方式，即判断对方是否拥有与本地相同的pre-share key。双方的key配置必须一致，否则第一阶段协商失败。

IKE协商第二阶段总结（quick mode）

• 第二阶段交互的ISAKMP消息均被第一阶段产生的IKE SA保护。
• 确定IPSec SA的保护策略，使用AH还是ESP、传输模式还是隧道模式、被保护的数据是什么等等，IPSec通信实体双方对于这些安全策略必须达成一致，否则IKE第二阶段协商无法通过。
• 为降低密钥之间的关联性，第二阶段采用PFS重新进行DH交换，并计算出新的共享密钥，从而计算出IPSec SA中用于加密和验证的密钥。
• 第二阶段协商的目标就是产生真正用于保护IP数据的IPSec SA。