实验案例一：多点IPSecVPN配置（流量转发）一、实验环境某外企铺设海底电缆到中国区总部——香港，但该外企在北京和上海新进成立了分设机构，公司考虑到总部与分设机构经常传输关键业务数据，希望在各个公司的网关间通信时采用站点间VPN的方式，如图7-1所示。图7-11.本实验需要四台路由器来实验，中间的路由器用来模拟ISP提供商的网络设备（Internet）。2.R1、R2、R3网关的外网接口地址分别为200.0.10.1/30、200.0.20.1/30、200.0.30.1/30。3.内网的网段通过三个Loopback接口来模拟，地址分别为1.1.1.1/24、2.2.2.2/24、3.3.3.3/24。二、需求描述1.香港、北京、上海三家公司之间所有的流量必须通过IPSecVPN实现加密传输。2.阶段1的加密算法使用3DES，认证算法使用SHA、DH组选用组2；阶段2的数据加密认证过程均使用ESP协议实现。3.要求北京和上海的分公司之间不能直接通信（即北京公司的内网若要实现访问上海的公司内网，流量必须经过香港的网关路由器转发）。4.三家公司各自访问Internet的流量通过NAT技术实现。三、具体步骤（一）基础配置。1.R1、R2、R3网关路由器基础配置。R1#configterR1(config)#interf0/0R1(config-if)#ipadd200.0.10.1255.255.255.252R1(config-if)#noshutR1(config-if)#interloopback0R1(config-if)#ipadd1.1.1.1255.255.255.0R1(config-if)#noshutR1(config-if)#exitR2#configterR2(config)#interf0/0R2(config-if)#ipadd200.0.20.1255.255.255.252R2(config-if)#noshutR2(config-if)#loopback0R2(config-if)#ipadd2.2.2.2255.255.255.0R2(config-if)#noshutR2(config-if)#exitR3#configterR3(config)#interf0/0R3(config-if)#ipadd200.0.30.1255.255.255.252R3(config-if)#noshutR3(config-if)#interloopback0R3(config-if)#ipadd3.3.3.3255.255.255.0R3(config-if)#noshutR3(config-if)#exit2.ISP路由器配置。ISP#configterISP(config)#interf0/0ISP(config-if)#ipadd200.0.20.2255.255.255.252ISP(config-if)#noshutISP(config-if)#interf1/0ISP(config-if)#ipadd200.0.30.2255.255.255.252ISP(config-if)#noshutISP(config-if)#interf1/1ISP(config-if)#ipadd200.0.10.2255.255.255.252ISP(config-if)#noshutISP(config-if)#dowriteISP(config-if)#exit（二）分别在R1与R2之间、R1与R3之间、R2与R3之间配置IPSecVPN通道。1.R1上的配置。1）实现阶段1管理连接建立。（1）配置安全策略。R1(config)#cryptoisakmppolicy1R1(config-isakmp)#encryption3des//加密算法使用3desR1(config-isakmp)#hashsha//认证算法shaR1(config-isakmp)#authenticationpre-shareR1(config-isakmp)#group2//DH组选用组2R1(config-isakmp)#exit（2）配置预共享密钥。R1(config)#cryptoisakmpkey6benet-keyaddress200.0.20.1//R1-R2建立链接的预共享密钥benet-keyR1(config)#cryptoisakmpkey6benet-keyaddress200.0.30.1//R1-R3建立链接的预共享密钥benet-key2）实现阶段2数据连接建立。（1）配置CryptoACL匹配需要保护的流量。R1(config)#access-list101permitip1.1.1.10.0.0.2552.2.2.20.0.0.255//R1-R2之间IPSec加密的流量R1(config)#access-list102permitip1.1.1.10.0.0.2553.3.3.30.0.0.255//R1-R3之间IPSec加密的流量（2）配置IPSec传输集（变换集）。R1(config)#cryptoipsectransform-setbenet-setesp-aesesp-sha-hmac//数据加密和认证过程使用均使用esp协议R1(cfg-crypto-trans)#exit（3）配置CryptoMap加密映射，并将其应用到网关路由器外部接口。R1(config)#cryptomapbenet-map1ipsec-isakmp//R1-R2之间的加密映射benet-map1R1(config-crypto-map)#setpeer200.0.20.1//指定R1的对等体设备R2R1(config-crypto-map)#settransform-setbenet-set//指定R1-R2传输集R1(config-crypto-map)#matchaddress101//调用需要保护的R1-R2的IPSecVPN流量R1(config-crypto-map)#exitR1(config)#cryptomapbenet-map2ipsec-isakmp//R1-R3之间的加密映射benet-map2R1(config-crypto-map)#setpeer200.0.30.1//指定R1的对等体设备R3R1(config-crypto-map)#settransform-setbenet-set//指定R...