第一方案.....................................................................................................2
第二方案.................................................................................................. 17
第三方案.................................................................................................. 33
第四方案.................................................................................................. 47
第五方案.................................................................................................. 59
第六方案.................................................................................................. 75
第七方案.................................................................................................. 91
第八方案................................................................................................ 106
第九方案................................................................................................ 121
第十方案................................................................................................ 139
第十一方案............................................................................................ 157
第十二方案............................................................................................ 177
第十三方案............................................................................................ 195
第十四方案............................................................................................ 209
第十五方案............................................................................................ 227
第十六方案............................................................................................ 241
附录一:................................................................................................ 255
附录二:................................................................................................ 271
一、 拓扑图
PCB
RA
S0/1
RB
S0/1
F0/0
F0/0
S0/2
E0/0/1-5
E0/0/24
SWA
PCC
E0/0/6-10
SWB
E0/0/23
E0/0/24
F0/0
RC
S0/2
F0/3
PCA
二、 环境准备
1. 设备要求
3 台路由器 DCR-2626
2 台交换机 DCRS-5650-28
3 台 PC 电脑
2. IP 地址规划
RC
S0/2
F0/0
F0/3
RB
S0/1
S0/2
F0/0
RA
S0/1
F0/0
SWA
VLAN100
VLAN20
VLAN30
SWB
VLAN100
VLAN200
PCA
PCB
PCC
202.106.1.2/28
192.168.1.1/24
192.168.10.254/24
210.216.1.2/28
202.106.1.1/28
10.1.1.1/24
210.216.1.1/28
192.168.2.2/24
10.1.1.2/24
10.1.10.254/24
10.1.20.254/24
192.168.2.1/24
192.168.1.2/24
0/0/24
0/0/1-5
0/0/6-10
0/0/23
0/0/24
192.168.10.1/24
10.1.10.1/24
10.1.20.1/24
3. 配置准备
A. 按照题目 VLAN 表正确配置 VLAN 以及端口划分。
B. 按照实验拓扑正确连接各个设备。
C. 按照 IP 表正确配置路由交换之间的 IP。
D. 按照题目要求配置设备
三、 方案要求
1. RB 与 RA 之间配置 ipsecvpn:
A. RA 与 RB 之间 IKE 方式协商安全联盟主动模式;
B.
C.
IKE 策略采用 md5hash 算法;
transform-set(协议变换集)名称为 lin,加密验证方式为:ah-sha-hmac、
esp-des,共享密钥为:1234567
D. 加密映射表进行协商的安全联盟的生命周期为 86400 秒
2. RA 与 RB 之间配置 ppp 协议:
采用 chap 认证,启用 AAA 验证方法,本地认证;
RB 与 RC 之间配置 ppp 协议:
采用 pap 认证,设置双向认证,启用 AAA 验证方法,本地认证。
3. 不允许 PCC 访问 PCA:
A. 可在任意设备上进行配置
B. 限制使用标准 ACL 进行配置。
4. 将 PCB 与 PCC 进行 MAC 地址绑定:
A. 使 PCB 与 PCC 换到其他端口是无法通信,并且 PCC 所连接的端口其他 PC 机
连接上也无法通信。
5. 全网配置 RIPv2 路由协议,使全网能够互通。
6. 策略路由:
A. 所有数据相互通信优先通过 SWA-RB-RA-SWB-RC 路线;
B. SWA-RB-RC 路线作为冗余线路。
四、 验证思路
1. 查看配置文件
Showrunning-config 确保配置是否正确
2. 验证 VPN 连接
查看第一阶段连接后情况,如果正确,则会出现已连接好信息,若不正确,则空白
shcryptoisakmpsa
查看第二阶段连接后情况,如果正确,则会出现已连接好信息,并将加密信息与认
证信息一 一呈现,若不正确,则空白
shcryptoipsecsa
查看第一阶段连接时的情况
debugcryptoisakmp
查看第二阶段连接时的情况
debugcryptoipsec
3. 验证 PPP 连接
查看 PPP 连接状态,若已连接,会出现连接后的状况,并显示对端路由器信息及
认证信息。
Showpppstatus
查看 PPP 的认证过程,会出现相互验证过程,如果成功会停止认证并显示以建立
连接,否则则不停认证。
Debugpppauthentication
4. 查看全网互通
查看路由表,是否学到全网路由
Showiproute
查看 rip 路由协议状态,能够看到所使用的版本等信息
Showipripprotocol
也可在 PC 上使用 Ping 命令进行链路连通性的测试。
5. 验证策略路由
可使用 show running-config 进行配置查看,也可使用 taceroute 命令在 PC 机
上进行验证,若正确会遵循题目要求中的线路进行路由,若不正确则会走另外一条
线路。(必须在全网互通的前提下)
在网络设备上可以使用 tracert 命令进行数据路由的查看。
五、 注意事项
1.
IPSCEVPN 推荐配置顺序:
A. RB 上开启访问控制列表;
B. 配置变换集;
C. 创建策略表;
D. 配置加密映射表,将刚才配置的访问列表,变换集,策略表进行引用;
E. 最后绑定到端口上。RA 的配置方法与 RB 上一致。
IPSECIKE 主动模式默认开启
2.
3. cryptomap 的名字必须与接口上应用的名字一致
4. matchaddress 后面的名字注意要写正确,需要和对应的 ACL 列表名相同
5. 在三层交换机上配置 RIP 路由协议时,宣告时注意子网掩码的写法
6. RA 与 RB 做 CHAP,主要注意 CHAP 的三次握手,用户名的交互认证。别忘了起
AAA 认证
7. 路由 RIP 主要声名直连网段。注意声名 RIP 版本
8. 端口锁定可以使用端口安全与 AM,端口安全可以使用静态与动态,本例中使用静
态端口安全
9. 配置策略路由需要先建立访问列表,或者用已有的也可以,在建立 route-map 里
面指明下一跳,在调用先前建立好的访问列表,最后绑定到端口上。
10. 配置策略路由后,观察 SWB 交换机,注意 SWB 到达 SWA 两个出口的跳数一致,
所以从 PCA 到达 SWA 的数据经过 SWB 时数据应该会有部分丢失;解决的思路为
让 SWB 认为 SWB-RC-RB-SWA 这条线路的跳数比 SWB-RA-RB-SWA 的跳数大,
建议在 RC 的路由模式配置度量值偏移。
六、 配置参考
RA 路由器:
shorun
正在收集配置...
当前配置:
!
!version1.3.3F
servicetimestampslogdate
servicetimestampsdebugdate
noservicepassword-encryption
!
hostnameRA
!
!
gbscgroupdefault
!
!
aaaauthenticationpppfor_chaplocal
!
usernameRBpassword0123456
cryptoisakmpkey1234567210.216.1.2255.255.255.255
!
!
cryptoisakmppolicy10
hashmd5
!
cryptoipsectransform-setlin
transform-typeah-sha-hmacesp-des
!
cryptomaplin210ipsec-isakmp
setpeer210.216.1.2
setsecurity-associationlifetimeseconds86400
settransform-setlin
matchaddressfor_vpn
!
!
interfaceFastEthernet0/0
ipaddress192.168.2.2255.255.255.0
noipdirected-broadcast
!
interfaceFastEthernet0/3
noipaddress
noipdirected-broadcast
!
interfaceSerial0/1
ipaddress210.216.1.1255.255.255.240
noipdirected-broadcast
cryptomaplin2
encapsulationppp
pppauthenticationchapfor_chap
pppchaphostnameRA
physical-layerspeed64000
!
interfaceSerial0/2
noipaddress
noipdirected-broadcast
!
interfaceAsync0/0
noipaddress
noipdirected-broadcast
!
!
routerrip
version2
noauto-summary
network210.216.1.0255.255.255.240
network192.168.2.0255.255.255.0
!
!
ipaccess-listextendedfor_vpn
permitipanyany
!
!
RA#
RB 路由器:
shorun
正在收集配置...
当前配置:
!
!version1.3.3F
servicetimestampslogdate
servicetimestampsdebugdate
noservicepassword-encryption
!