如何配置预共享密钥的IPSecVPN.docVIP

. . . . 如何配置预共享密钥的IPSec VPN 今天我们来在cisco路由器上配置一下基于预共享密钥的IPSec VPN网络。 　　首先我们来了解一下什么是VPN？ 　　简单的说,VPN 是一种通过Internet或公共网络受保护的链接。 　　由VPN组成的“线路”并不是物理存在的，而是通过技术手段模拟出来的，既是“虚拟”的。不过这种虚拟的专用网络技术却可以在公用线路中为两台计算机建立一个逻辑上的专用“通道”，它具有良好的保密和不受干扰性使双方能进行自由而安全的点对点的连接。 　　VPN相比较专线网络的优势： 　　连接可靠，可保证数据传输的安全性。 　　利用公共网络进行信息通讯，可降低成本，提高网络资源利用率． 　　支持用户实时、异地接入，可满足不断增长的移动业务需求。 　　支持QoS功能，可为VPN用户提供不同等级的服务质量保证。 　　防止数据在公网传输中被窃听 　　防止数据在公网传输中被篡改 　　可以验证数据的真实来源 　　成本低廉（相对于专线、长途拨号） 应用灵活、可扩展性好。 ?本次试验的拓扑图如下： 路由器的端口连接图如下: 　　Router1 F0/1 ---- Router2 F0/1 　　Router1 F0/0 ---- pc 1 Router2 F0/0 ---- pc 2 一、路由基本配置 　　首先我们来对路由一进行一下基本配置。F0/1是连接外网的端口，IP地址为 F0/0是连接内网的，IP地址为 　　R1: Routergt;en Router#conf t Router(config)#hostname r1 r1(config)#int f0/1 r1(config-if)#ip addr r1(config-if)#no shut r1(config-if)#exit r1(config)#int f0/0 r1(config-if)#ip addr r1(config-if)#no shut r1(config-if)#exit 　　在路由器一上配置静态路由。目标网段+子网掩码+下一跳IP地址。这里配置其他的路由协议也可以，比如：ospf、rip、eigrp等等。 　　r1(config)#ip route 　　r1(config)#exit 　接下来我们来对路由二进行一下基本配置。F0/1是连接外网的端口，IP地址为 F0/0是连接内网的，IP地址为。最后配置一下静态路由，目标网段+子网掩码+下一跳IP地址 　　R2: Routergt;en Router#conf t Router(config)#hostname r2 r2(config)#int f0/1 r2(config-if)#ip addr r2(config-if)#no shut r2(config-if)#exit r2(config)#int f0/0 r2(config-if)#ip addr r2(config-if)#no shut r2(config-if)#exit r2(config)#ip route r2(config)#exit 　路由器的基本配置步骤完成后，我们用命令show ip route 来查看一下路由表的信息。发现路由一已经学到了其他网段的信息了。经过查看路由二的路由表，它也正常学习到了其他网段的信息了（学计算机基础知识 ） 既然已经学习到了其他的路由信息，那么肯定能通讯了，只是现在通讯是肯定是不安全的，用抓包器可以很轻松的获取到密码。接下来我们就是要在路由器一与路由器二的通信信道上建立一条VPN专用线路，让其更安全的传输数据。 二、配置IPSec和IKE 　　IPSec 提供两个安全协议： AH (Authentication Header)报文认证头协议 MD5(Message Digest 5) SHA1(Secure Hash Algorithm) ESP (Encapsulation Security Payload)封装安全载荷协议 DES (Data Encryption Standard) 3DES 　　其他的加密算法：Blowfish ，blowfish、 cast … 　　IKE全称：Internet Key Exchange 　　IKE用于IPSec安全联盟及密钥的自动化管理，定时为IPSec协商密钥，创建、删除安全联盟等 　　IKE采用两个阶段的ISAKMP： 　　协商认证通信信道，为第二阶段的通信提供安全保证。即建立IKE SA 　　使用IKE SA 协商建立IPSec SA，用于IPSec通信。 　　IKE（Internet K