典型路由器实验配置文档_路由器的配置实验报告

典型路由器实验配置文档由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“路由器的配置实验报告”。

典型路由器实验配置文档

目录

一，DHCP中继代理配置实验案例(多个DHCP服务器).............................3 二，IPsecVPN穿越NAT实例配置..............................................5 三，双PPPOE线路实验(神码)..................................................9 四，外网通过IPsec_VPN服务器(在内网)访问内网服务器.........................15 五，DCR-2800和BSR-2800配置RIP路由.....................................21 六，DCR-2800 L2TP服务器配置..............................................24 七，总分部之间IPsecVPN对接................................................29 一，DHCP中继代理配置实验案例(多个DHCP服务器)1，需求描述

如果DHCP客户机与DHCP服务器在同一个物理网段，则客户机可以正确地获得动态分配的ip地址。如果不在同一个物理网段，则需要DHCP Relay Agent(中继代理)。用DHCP Relay代理可以去掉在每个物理的网段都要有DHCP服务器的必要,它可以传递消息到不在同一个物理子网的DHCP服务器，也可以将服务器的消息传回给不在同一个物理子网的DHCP客户机，而且一个网络中有可能存在多个DHCP服务器作为冗余备份。2，拓扑图

3，配置步骤

R1# interface FastEthernet0/0 ip addre dhcp client-id FastEthernet0/0 //启用DHCP客户端模式 R2# interface FastEthernet0/0 ip addre 192.168.1.1 255.255.255.0 ip helper-addre 192.168.2.2 //真正的DHCP服务器1的地址 ip helper-addre 192.168.2.3 //真正的DHCP服务器2的地址!interface FastEthernet1/0 ip addre 192.168.2.1 255.255.255.0 R2(config)#ip forward-protocol udp 67(sh run 看不到)//有限广播DHCP报文 R3# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip addre 192.168.2.2 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R3(config)#service dhcp(开启DHCP服务，sh run 看不到)R4# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip addre 192.168.2.3 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R4#(config)#service dhcp(开启DHCP服务，sh run 看不到)4，配置验证

Sh ip int br//查看端口信息

Show ip dhcp binding //查看所有的地址绑定信息

R1上抓包

R3上抓包

R4上抓包

5，注意事项

(1)必须开启DHCP服务 service dhcp(2)客户端获取一个地址后，广播发送Request报文包含此地址的DHCP服务器(R3)ID，R4收到后回收已分配的地址，避免造成地址浪费。

二，IPsecVPN穿越NAT实例配置

1，需求描述

IPSec协议的主要目标是保护IP数据包的完整性，这意味着IPSec会禁止任何对数据包的修改。但是NAT处理过程是需要修改IP数据包的IP 包头、端口号才能正常工作的。所以，如果从我们的网关出去的数据包经过了ipsec的处理，当这些数据包经过NAT设备时，包内容被NAT设备所改动，修 改后的数据包到达目的地主机后其解密或完整性认证处理就会失败，于是这个数据包被认为是非法数据而丢弃。无论传输模式还是隧道模式，AH都会认证整个包 头，不同于ESP 的是，AH 还会认证位于AH头前的新IP头，当NAT修改了IP 头之后，IPSec就会认为这是对数以完整性的破坏，从而丢弃数据包。因此，AH是约 可能与NAT一起工作的。

意思就是说，AH处理数据时，所使用的数据是整个数据包，甚至是IP包头的IP地址，也是处理数据的一部分，对这些数据作整合，计算出一个值，这个值是唯一的，即只有相同的数据，才可能计算出相同的值。当NAT设备修改了IP地址时，就不符合这个值了。这时，这个数据包就被破坏了。而ESP并不保护IP包头，ESP保护的内容是ESP字段到ESP跟踪字段之间的内容，因此，如何NAT只是转换IP的话，那就不会影响ESP的计算。但是如果是使用PAT的话，这个数据包仍然会受到破坏。

所以，在NAT网络中，只能使用IPSec的ESP认证加密方法，不能用AH。但是也是有办法解决这个缺陷的，不能修改受ESP保护的TCP／UDP，那就再加一个UDP报头。解决方案：NAT穿越 2，拓扑图

3，配置步骤 R1# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 addre 11.1.1.2！crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1 match addre ipsecacl ip acce-list extended ipsecacl permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ip route 0.0.0.0 0.0.0.0 10.1.1.2 R2# interface FastEthernet0/0 ip addre 10.1.1.2 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip addre 11.1.1.1 255.255.255.0 ip nat outside ip nat inside source static esp 10.1.1.1 interface FastEthernet1/0 //支持ESP协议

ip nat inside source static udp 10.1.1.1 4500 interface FastEthernet1/0 4500 //NAT-T ipsecvpn端口地址转换

ip nat inside source static udp 10.1.1.1 500 interface FastEthernet1/0 500 //普通 ipsecvpn 端口地址转换

R3# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 addre 11.1.1.1！crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.1 set transform-set tran1 match addre ipsecacl ip acce-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 4，配置验证

R1#f0/0上抓包

ISAKMP报文

ESP报文

R2#f1/0上抓包

ISAKMP报文

ESP报文

5，注意事项

(1)R1与R3上的对端地址均为公网地址，R1上要配缺省路由。

(2)IPsecVPN穿越NAT时要变换IP地址和端口，从而导致对方认证失败，所以应该保证变换后的IP地址和端口和对端一致。

三，双PPPOE线路实验(神码)1.需求描述

现实网络中有很多企业和机构都采用双线路来互相冗余备份，而其中有很多通过pppoe拨号(ADSL宽带接入方式)来实现对每个接入用户的控制和计费。2.拓扑图

3，配置步骤

R1# interface Virtual-tunnel0 //配置虚拟通道0 mtu 1492 //最大传输单元

ip addre negotiated //IP地址自协商 no ip directed-broadcast ppp chap hostname DCN //chap认证方式用户名DCN ppp chap paword 0 DCN //chap认证方式密码DCN

ppp pap sent-username DCN paword 0 DCN //pap认证方式用户名DCN1密码DCN1 ip nat outside!interface Virtual-tunnel1 mtu 1492 ip addre negotiated no ip directed-broadcast ppp chap hostname DCN1 ppp chap paword 0 DCN1 ip nat outside!interface f2/0 ip addre 10.1.1.1 255.255.255.0 no ip directed-broadcast ip nat inside!ip route default Virtual-tunnel0 //默认路由走虚拟隧道0 ip route default Virtual-tunnel1 //默认隧道走虚拟隧道1!ip acce-list extended natacl permit ip 10.1.1.0 255.255.255.0 any!vpdn enable 启用VPDN!vpdn-group poe0 建vpdn组 request-dialin 请求拨号

port Virtual-tunnel0 绑定虚拟隧道0 protocol pppoe 封装PPPOE协议

pppoe bind f0/0 绑定到物理接口f0/0!vpdn-group pppoe1 request-dialin port Virtual-tunnel1 protocol pppoe pppoe bind f1/0！!ip nat inside source list natacl interface Virtual-tunnel0 //NAT走虚拟隧道0 ip nat inside source list natacl interface Virtual-tunnel1!R2# config# ip local pool pppoe 172.16.1.2 10 //配置分配给客户端的地址池 aaa authentication ppp default local //开启本地ppp认证 username DCN paword 0 DCN //本地认证的用户名密码!interface Virtual-template0 //建立虚拟模版0 ip addre 172.16.1.1 255.255.0.0 //设置ip地址 no ip directed-broadcast ppp authentication chap //PPP认证为chap认证方式(virtual-tunnel隧道不能配置此参数，否则只能完成发现阶段，不能建立会话阶段)ppp chap hostname DCN //chap认证用户名DCN ppp chap paword 0 DCN //chap认证密码DCN

peer default ip addre pool pppoe //给拨号上来的客户端分配地址池里的地址 ip nat inside！interface f0/0 ip addre 192.168.3.3 255.255.255.0 ip nat outside!ip route default 192.168.3.1!ip acce-list extended natacl permit ip 172.16.1.0 255.255.255.0 any!vpdn enable //启用vpdn!vpdn-group pppoe //建立vpdn组 accept-dialin //允许拨入

port Virtual-template0 //绑定虚拟模版0 protocol pppoe //封装pppoe协议

pppoe bind fastEthernet0/0 //绑定到物理接口fsatethnet0/0！ip nat inside source list natacl interface f1/0

R3# ip local pool pppoe 192.168.1.2 10!aaa authentication ppp default local!

username DCN1 paword 0 DCN1!interface Virtual-template0 mtu 1492 ip addre 192.168.1.1 255.255.255.0 no ip directed-broadcast ppp authentication chap

ppp chap hostname DCN1 ppp chap paword 0 DCN1 peer default ip addre pool pppoe ip nat inside!Interface f 1/0 ip addre 192.168.3.2 255.255.255.0 no ip directed-broadcast ip nat outside！ip route default 192.168.3.1！ip acce-list extended natacl permit ip 192.168.1.0 255.255.255.0 any！vpdn enable!vpdn-group pppoe accept-dialin port Virtual-template0 protocol pppoe pppoe bind FastEthernet0/0!

ip nat inside source list natacl interface f1/0!

4，验证配置

R1#sh ip int br

Fastethnet2/0 10.1.1.1 manual up Fastethnet0/0 unaigned manual up Fastethnet1/0 unaigned manual up Virtual-tunnel0 172.16.1.2 manual up Virtual-tunnel1 192.168.1.2 manual up #sh pppoe seion

PPPOE Seion Information: Total seions 2

ID Remote_Addre State Role Interface BindOn 306 FC:FA:F7:B0:06:AE Established client vn1 f0/0 307 FC:FA:F7:7E:0C:A2 Established client vn0 f1/0 R2#sh ip int br

Interface IP-Addre Method Protocol-Status fastEthernet0/0 unaigned manual up fastEthernet0/1 192.168.3.3 manual up Virtual-template0 172.16.1.1 manual down Virtual-acce0 172.16.1.1 manual up

#sh pppoe seion

PPPOE Seion Information: Total seions 1

ID Remote_Addre State Role Interface BindOn 1 FC:FA:F7:D2:07:EA Established server va0 f0/0 R3#sh ip int br

Interface

IP-Addre

Method Protocol-Status FastEthernet0/0

unaigned

manual up

FastEthernet0/1

192.168.3.2

manual up Virtual-template0

192.168.1.1

manual down Virtual-acce0

192.168.1.1

manual up

#sh pppoe seion

PPPOE Seion Information: Total seions 1

ID

Remote_Addre

State

Role

Interface BindOn

FC:FA:F7:D2:07:E9 Established

server

va0

f0/0

5，注意事项

（1），pppoe-client配置虚拟通道时，最大传输单元为1492(默认)，ip地址为自协商，ppp认证方式为chap和pap(服务器提供的认证方式有可能为chap或pap)。注意：不能配置ppp authentication chap(认证方式为任意)。

（2），pppoe-client配置vpdn时，先启用vpdn，创建vpdn组，请求拨号，应用虚拟隧道，封装pppoe协议，绑定到物理接口。

（3），pppoe-client配置默认路由下一跳为虚拟隧道virual-tunnel0/virtual-tunnel1，配置NAT时，出接口为虚拟隧道virual-tunnel0/virtual-tunnel1。

（4），pppoe-server配置时注意配置分配给客户端的地址池，开启本地ppp认证，配置本地认证用户名和密码。

（5），pppoe-server配置虚拟模版时，最大传输单元1492，ip地址为固定ip(与地址池在同一网段，但不包含在地址池里)，ppp认证方式为chap或pap，认证的用户名和密码，给拨号上来的客户端分配地址池里的地址。

（6），pppoe-server配置vpdn时，先启用vpdn，创建vpdn组，允许拨号，应用虚拟模版，封装pppoe协议，绑定到物理接口。

四，外网通过IPsec_VPN服务器(在内网)访问内网服务器

1，需求描述

有些企业单位将VPN服务器放在内网，需要让在外网出差的用户拨上VPN后能访问内网部分资源(如WEB服务器，办公系统等)。2，拓扑图

3，配置步骤 IPsecVPN_Server# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 addre 11.1.1.2!

crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1

match addre ipsecacl!interface FastEthernet0/0 ip addre 10.1.1.2 255.255.255.0 crypto map map1 //绑定转换图!ip route 11.1.1.0 255.255.255.0 10.1.1.1 //隧道协商的路由

ip route 172.16.1.0 255.255.255.0 10.1.1.1 //转发VPN客户端流量的路由!ip acce-list extended ipsecacl permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

Telnet_Server# aaa new-model //开启AAA认证!aaa authentication login default none //无认证登录 aaa authentication enable default none //无enable认证!interface FastEthernet0/0 ip addre 10.1.1.3 255.255.255.0!ip route 0.0.0.0 0.0.0.0 10.1.1.1 //网关

NAT_Over# interface FastEthernet0/0 ip addre 10.1.1.1 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip addre 11.1.1.1 255.255.255.0 ip nat outside!ip route 172.16.1.0 255.255.255.0 10.1.1.2 //指向VPN服务器!ip nat inside source static esp 10.1.1.2 interface FastEthernet1/0 //封装ESP协议 ip nat inside source static udp 10.1.1.2 500 interface FastEthernet1/0 500 //端口映射 ip nat inside source static udp 10.1.1.2 4500 interface FastEthernet1/0 4500 //端口映射

IPsecVPN_Client# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 addre 11.1.1.1!

crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 11.1.1.1 set transform-set tran1

match addre ipsecacl!interface FastEthernet0/0 ip addre 11.1.1.2 255.255.255.0 crypto map map1 //绑定转换图!interface FastEthernet1/0 ip addre 172.16.1.1 255.255.255.0!ip route 10.1.1.0 255.255.255.0 11.1.1.1 //转发VPN流量的路由!ip acce-list extended ipsecacl permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255

4，验证配置 172.16.1.1访问Telnet_Server Ping 10.1.1.3 source 172.16.1.1

IPsecVPN_Client f0/0上抓包

IPsecVPN_Server f0/0上抓包

NAT_Over f0/0上抓包

Telnet_Sever f0/0上抓包

5，注意事项

(1)，配置ipsecvpn时，注意将map绑定到物理接口。

(2)，nat_over路由器上配置的一条指向ipsecvpn服务器的路由。

(3)，ipsecvpn_sever和ipsecvpn_client上配置隧道路由和数据路由，数据转发时先查找路由从接口转发时再看是否匹配ipsecacl，匹配才走ipsecvpn隧道。天津多外线内部vpn服务器案例

五，DCR-2800和BSR-2800配置RIP路由

1，需求描述

路由信息协议（Routing Information Protocol，缩写：RIP）是一种使用最广泛的内部网关协议（IGP）。（IGP）是在内部网络上使用的路由协议(在少数情形下,也可以用于连接到因特网的网络)，它可以通过不断的交换信息让路由器动态的适应网络连接的变化，这些信息包括每个路由器可以到达哪些网络，这些网络有多远等。RIP 属于网络层协议，并使用UDP作为传输协议。(RIP是位于网络层的)

虽然RIP仍然经常被使用，但大多数人认为它将会而且正在被诸如OSPF和IS-IS这样的路由协议所取代。当然，我们也看到EIGRP，一种和RIP属于同一基本协议类(距离矢量路由协议,Distance Vector Routing Protocol)但更具适应性的路由协议，也得到了一些使用。2，拓扑描述

3，配置步骤 DCR-2800上配置 DCR-2800# interface GigaEthernet0/0 ip addre 192.168.1.1 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip addre 192.168.2.1 255.255.255.0 ip rip 1 enable!router rip 1

neighbor 192.168.1.2 DCR-2800#sh ip route C

192.168.1.0/24

is directly connected, GigaEthernet0/0 C

192.168.2.0/24

is directly connected, GigaEthernet0/1 R

192.168.3.0/24

[120,1] via 192.168.1.2(on GigaEthernet0/0)

BSR-2800上配置 BSR-2800# interface GigaEthernet0/0 ip addre 192.168.1.2 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip addre 192.168.3.1 255.255.255.0 ip rip 1 enable!router rip 1

neighbor 192.168.1.1 BSR-2800#sh ip route C

192.168.1.0/24

is directly connected, GigaEthernet0/0 R

192.168.2.0/24

[120,1] via 192.168.1.1(on GigaEthernet0/0)C

192.168.3.0/24

is directly connected, GigaEthernet0/1 4，验证配置

DCR-2800#ping 192.168.3.1 PING 192.168.3.1(192.168.3.1): 56 data bytes！！!---192.168.3.1 ping statistics---5 packets transmitted, 5 packets received, 0% packet lo round-trip min/avg/max = 0/0/0 ms 5，注意事项

（1），neighbor 为对端ip（2），在接口下 ip rip 1 enable 则宣告了这个接口的地址所在的网段，如果这个接口有两个地址，例如 interface GigaEthernet0/0 ip addre 192.168.1.1 255.255.255.0 ip addre 192.168.4.1 255.255.255.0 secondary 则只能成功宣告192.168.1.0 这个网段 如果一个接口分两个逻辑子接口，例如 interface GigaEthernet0/0.0 ip addre 192.168.1.1 255.255.255.0 interface GigaEthernet0/0.1 ip addre 192.168.4.1 255.255.255.0 则能成功宣告两个网段192.168.1.0，192.168.4.0 六，DCR-2800 L2TP服务器配置

1，需求描述

L2TP是一种工业标准的Internet隧道协议，功能大致和PPTP协议类似，比如同样可以对网络数据流进行加密。不过也有不同之处，比如PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接；PPTP使用单一隧道，L2TP使用多隧道；L2TP提供包头压缩、隧道验证，而PPTP不支持。2，拓扑描述

3，配置步骤 DCR-2800上配置 int g0/0 ip add 192.168.1.1 255.255.255.0 ip local pool l2tp_pool 172.16.1.1 10 //配置l2tp地址池 aaa authentication ppp default local //开启ppp认证!interface Virtual-template0 //创建虚拟接口模版

ip add 192.168.2.1 255.255.255.0//virtual-template接口的地址为任意地址

no ip directed-broadcast

ppp authentication chap //认证方式为chap ppp chap hostname admin //认证用户名

ppp chap paword 0 admin //认证密码

peer default ip addre pool l2tp_pool //调用地址池!vpdn enable //开启虚拟专用拨号!

vpdn-group l2tp //定义vpdn组

accept-dialin //允许拨入

port Virtual-template0 //绑定虚拟接口模版

protocol l2tp //定义协议为l2tp local-name default force-local-chap //强制进行CHAP验证

lcp-renegotiation //重新进行LCP协商!PC上配置

网络和共享中心->设置新的连接或网络->连接到工作区->使用我的Internet连接VPN

4，验证配置

拨号成功

5，注意事项

(1)，L2TP服务器上virtual-template接口的地址为任意地址

(2)，force-local-chap //强制进行CHAP验证，lcp-renegotiation //重新进行LCP协商(3)，PC客户端上配置可选加密，勾选三种认证方式PAP，CHAP，MS-CHAP

七，总分部之间IPsecVPN对接

1，需求描述

导入IPSEC协议，原因有2个，一个是原来的TCP/IP体系中间，没有包括基于安全的设计，任何人，只要能够搭入线路，即可分析所有的通讯数据。IPSEC引进了完整的安全机制，包括加密、认证和数据防篡改功能。另外一个原因，是因为Internet迅速发展，接入越来越方便，很多客户希望能够利用这种上网的带宽，实现异地网络的的互连通。

IPSEC协议通过包封装技术，能够利用Internet可路由的地址，封装内部网络的IP地址，实现异地网络的互通。总部和分部之间通过IPsecVPN隧道通信，分部和分部之间通过和总部建立的IPsecVPN隧道通信。2，拓扑需求

3，配置步骤 总部：

crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 addre 2.1.1.2 255.255.255.0 crypto isakmp key 123456 addre 3.1.1.2 255.255.255.0!

crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 2.1.1.2 set peer 3.1.1.2 set transform-set tran1 match addre ipsecacl!interface Loopback0 ip addre 192.168.1.1 255.255.255.0!interface FastEthernet0/0 ip addre 1.1.1.1 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 1.1.1.2!ip acce-list extended ipsecacl permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 分部A：

crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 addre 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 1.1.1.1 set transform-set tran1

match addre ipsecacl!interface Loopback0 ip addre 192.168.2.1 255.255.255.0!interface FastEthernet0/0 ip addre 2.1.1.2 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 2.1.1.1!ip acce-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.255.255 分部B： crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 addre 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 1.1.1.1 set transform-set tran1

match addre ipsecacl!interface Loopback0 ip addre 192.168.3.1 255.255.255.0!interface FastEthernet0/0 ip addre 3.1.1.2 255.255.255.0 crypto map map1!ip route 0.0.0.0 0.0.0.0 3.1.1.1!ip acce-list extended ipsecacl permit ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.255.255

Internet：

interface FastEthernet0/0 ip addre 1.1.1.2 255.255.255.0!interface FastEthernet1/0 ip addre 2.1.1.1 255.255.255.0!interface FastEthernet2/0 ip addre 3.1.1.1 255.255.255.0 4，验证配置

总部：

Router#sh crypto isakmp sa dst

src

state

1.1.1.1

3.1.1.2

QM_IDLE 1.1.1.1

2.1.1.2

QM_IDLE 分部A：

Router#sh crypto isakmp sa dst

src

state

1.1.1.1

2.1.1.2

QM_IDLE 总部和分部A通信：

conn-id slot status

0 ACTIVE

0 ACTIVE

conn-id slot status

0 ACTIVE

Router#ping 192.168.1.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source addre of 192.168.2.1！！!Succe rate is 100 percent(5/5), round-trip min/avg/max = 40/55/84 ms 分部A上抓包：

分部A与分部B通信：

Router#ping 192.168.3.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: Packet sent with a source addre of 192.168.2.1！！!Succe rate is 100 percent(5/5), round-trip min/avg/max = 60/94/140 ms 总部上抓包：

分部B上抓包：

分部B：

Router#sh crypto isakmp sa dst

src

state

conn-id slot status 1.1.1.1

3.1.1.2

QM_IDLE

0 ACTIVE 分部B与总部A通信：

Router#ping 192.168.1.1 source 192.168.3.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source addre of 192.168.3.1！！!Succe rate is 100 percent(5/5), round-trip min/avg/max = 16/50/92 ms 分部B上抓包：

分部B与分部A通信：

Router#ping 192.168.2.1 source 192.168.3.1

Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: Packet sent with a source addre of 192.168.3.1！！!Succe rate is 100 percent(5/5), round-trip min/avg/max = 68/95/144 ms 总部上抓包：

分部A上抓包：

5，注意事项

(1)，思科IPsecvpn内网流量先查找路由后匹配策略，只有到达对端私网的路由，才能匹配策略加密封装。

(2)，隧道协商需要公网路由的可达性，但是只有内网有感兴趣流量时才能触发隧道协商，从而建立隧道，而且需要双向的触发。