路由器交换机配置任务6.3IPSEC VPN.doc

《路由器交换机配置教程》教案 课题 IPSEC VPN 教具： 计算机 课型： 新授 课时： 3 教 学 知识 目标 1.配置IPSEC VPN。 2.验证测试IPSEC VPN。 目 的 要 求 能力 目标 掌握IPSEC VPN的配置，构建安全的互联网环境。 德育 目标 培养学生安全意识和互帮互助的合作精神。 教学重点 配置IPSEC VPN 教学难点 配置IPSEC VPN 教学方法 任务驱动法、演示法 板书设计 IPSEC VPN 一.VPN概述 二．IPsec VPN 三 .运行IPSec 第一步，启动IPSec进程 第二步，IKE阶段1 第三步，IKE阶段2 第四步，传输数据 第五步，拆除IPSec隧道 四．配置步骤 1．启用IKE协商 IPSec参数 crypto map 4．把crypto map应用到端口 教程 教学活动 教学小记 组织教学 清点人数，维持纪律。 导入 新课 公司总部在北京，分公司位于上海。业务数据经过互联网络传输一旦泄密，就会给公司带来难以估量的损失。IPSEC VPN可以用公共网络来构建私人专用网络，传输的数据经过加密封装。作为网管员的你，准备好了吗？ 案例导入，激发学习兴趣。 教 学 进 程 一.VPN概述 利用公共网络（如Internet）来构建的私人专用网络称为虚拟私有网络（VPN，Virtual Private Network），在公共网络上组建的VPN像企业拥有的私有网络一样提供安全性、可靠性和可管理性等。 二．IPsec VPN IPSec是一组开放协议的总称，特定的通信方之间在IP层通过加密与数据源验证，以保证数据包在Internet网上传输时的私有性、完整性和真实性。 IPSec通过两个安全协议来实现：AH和ESP。 IPSec只支持IP单播数据流 三 .运行IPSec 第一步，启动IPSec进程 第二步，IKE阶段1 第三步，IKE阶段2 第四步，传输数据 第五步，拆除IPSec隧道 四．配置步骤及命令 1．启用IKE协商 Route(config)#crypto isakmp policy 10//建立IKE协商策略（10是策略编号 越小优先级越高。） Route(config-isakmp)#hash md5//认证密钥的算法为MD5 Route(config-isakmp)#authentication pre-share //告知路由器使用预先共享的密钥 Route(config-isakmp)#exit Route(config)#crypto isakmp key address 10.0.0.6 // CISCO为预共享密钥对端预共享密钥也，为对端路由器地址。 IPSec参数 Route(config)#crypto ipsec transform-set ipsecvpn ah-md5-hmac esp-des //ipsecvpn为transform-set的名称。ah-md5-hamc esp-des是采用的验证和加密算法  教程 教学活动 教学小记 教 学 进 程 Route(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 200.1.1.0 0.0.0.255 //扩展访问控制列表。192.168.1.0段 到 段的数据需要封装保护。crypto map Route(config)#crypto map vpn 10 ipsec-isakmp //vpn: crypto map的名称。1：优先级。ipsec-isakmp:表示此IPSec链接采用IKE自动协商 Route(config-crypto-map)#set peer //指定此VPN链路对端地址为 Route(config-crypto-map)#set transform-set ipsecvpn //调用配置的transform-set Route(config-crypto-map)#match address 101 //匹配访问控制列表。 crypto map应用到端口 Route(config)#interface fastEthernet 0/0 //进入 F0/0端口 Route(config-if)#crypto map vpn //把crypto map应用到端口 步骤1 根据拓扑图构建好网络，配置计算机的IP地址。 设备名称 接口 IP地址 子网掩码 网关 PC0 网卡 192.168.1.2 255.255.