實驗案例:Site to Site IPSec ***的配置

需求描述
image
3家公司之間所有的流量必須通過IPSec ***實現加密傳輸
3家公司各自訪問Internet 的流量通過NAT技術實現
實現思路
在R1與R2之間配置IPSec ***
在R1與R3之間配置IPSec ***
在R2與R3之間配置IPSec ***
配置PAT實現內網訪問Internet
說明
Router1 F0/0 <----> Router4 F0/0
Router2 F0/0 <----> Router4 F1/0
Router3 F0/0 <----> Router4 F2/0
各接口地址與書上一致,配置過程省略。R4模擬ISP
在R1與R2之間配置IPSec ***
r1(config)#ip route 0.0.0.0 0.0.0.0 200.0.10.2 //配置一條默認路由,用於香港訪問公
配置ISAKMP策略階段一
r1(config)#crypto isakmp policy 1 //建立管理連接策略
r1(config-isakmp)#encryption 3des //指定管理連接建立後的最後兩個數據報文(用於身份驗證)採用何種加密算法
r1(config-isakmp)#hash sha //驗證過程中採用HMAC的功能
r1(config-isakmp)#authentication pre-share //指定身份驗證的方式
r1(config-isakmp)#group 2 // 路由器默認組1 防火牆默認組2 最後越大越安全
r1(config-isakmp)#lifetime 10000 //管理連接的生存週期,其他廠商設備這個值必須設置一樣
r1(config-isakmp)#exit
r1(config)#crypto isakmp key 0 benet address 200.0.20.1 //配置預共享密鑰0 代表明文密碼爲benet 對等體的地址爲R2的F0/0接口地址。
階段一配置結束。
階段二配置命令
r1(config)#access-list 100 permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 //定義何種數據流需要被保護
r1(config)#crypto ipsec transform-set benet-set esp-des ah-sha-hmac //定義傳輸集以及加密和驗證的方式
r1(config)#crypto ipsec security-association lifetime seconds 1800 //設定生存週期
r1(config)#crypto map mymap 1 ipsec-isakmp //配置加密映射,映射名爲mymap
序列號爲
1 數值越小優先級越高
r1(config-crypto-map)#set peer 200.0.20.1 //對等體地址
r1(config-crypto-map)#set transform-set benet-set //指定傳輸集名稱
r1(config-crypto-map)#match address 100 //調用指定的匹配數據流
r1(config)#int f0/0
r1(config-if)#crypto map mymap //在接口上應用映射
R2配置:
r2(config)#ip route 0.0.0.0 0.0.0.0 200.0.20.2
r2(config)#crypto isakmp policy 1
r2(config-isakmp)#encryption 3des
r2(config-isakmp)#hash sha
r2(config-isakmp)#authentication pre-share
r2(config-isakmp)#group 2
r2(config-isakmp)#lifetime 10000
r2(config-isakmp)#exit
r2(config)#crypto isakmp key 0 benet address 200.0.10.1 //該密碼應該與R1中設置的密碼一致
r2(config)#access-list 100 permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
r2(config)#crypto ipsec transform-set benet-set esp-des ah-sha-hmac
r2(config)#crypto ipsec security-association lifetime seconds 1800
r2(config)#crypto map mymap 1 ipsec-isakmp
r2(config-crypto-map)#set peer 200.0.10.1
r2(config-crypto-map)#set transform-set benet-set
r2(config-crypto-map)#match address 100
r2(config-crypto-map)#exit
r2(config)#int f0/0
r2(config-if)#crypto map mymap
在R1與R3之間配置IPSec ***
R3配置
r3(config)#ip route 0.0.0.0 0.0.0.0 200.0.30.2
r3(config)#crypto isakmp policy 1
r3(config-isakmp)#encryption 3des
r3(config-isakmp)#hash sha
r3(config-isakmp)#authentication pre-share
r3(config-isakmp)#group 2
r3(config-isakmp)#lifetime 10000
r3(config-isakmp)#exit
r3(config)#crypto isakmp key 0 benet address 200.0.10.1 //該密碼應該與R1中設置的密碼一致
r3(config)#access-list 100 permit ip 3.3.3.0 0.0.0.255 1.1.1.0 0.0.0.255
r3(config)#crypto ipsec transform-set benet-set esp-des ah-sha-hmac
r3(cfg-crypto-trans)#exit
r3(config)#crypto ipsec security-association lifetime seconds 1800
r3(config)#crypto map mymap 1 ipsec-isakmp
r3(config-crypto-map)#set peer 200.0.10.1
r3(config-crypto-map)#set transform-set benet-set
r3(config-crypto-map)#match address 100
r3(config-crypto-map)#exit
r3(config)#int f0/0
r3(config-if)#crypto map mymap
R1配置:
R1的參數和R2已經配置過,不需要重新配置,只需要添加與R3有關的參數即可
r1(config)#crypto isakmp key 0 benet address 200.0.30.1 //配置R1與R3的預共享密鑰
r1(config)#access-list 100 permit ip 1.1.1.0 0.0.0.255 3.3.3.0 0.0.0.255 // 添加去R3 的受保護數據流
r1(config)#crypto map mymap 1 ipsec-isakmp
r1(config-crypto-map)#set peer 200.0.30.1 //添加一個對等體
在R2與R3之間配置IPSec ***
R2上的配置:
r2(config)#crypto isakmp key 0 accp address 200.0.30.1
r2(config)#access-list 100 permit ip 2.2.2.0 0.0.0.255 3.3.3.0 0.0.0.255
r2(config)#crypto map mymap 1 ipsec-isakmp
r2(config-crypto-map)#set peer 200.0.30.1
r2(config-crypto-map)#exit
R1上的配置:
r3(config)#access-list 100 permit 3.3.3.0 0.0.0.255 2.2.2.0 0.0.0.255
r3(config)#crypto isakmp key 0 accp address 200.0.20.1
r3(config)#crypto map mymap 1 ipsec-isakmp
r3(config-crypto-map)#set peer 200.0.20.1
r3(config-crypto-map)#exit
配置PAT實現內網訪問Internet
R1的配置:
r1(config)#access-list 101 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
r1(config)#access-list 101 deny ip 1.1.1.0 0.0.0.255 3.3.3.0 0.0.0.255
r1(config)#access-list 101 permit ip 1.1.1.0 0.0.0.255 any
r1(config)#ip nat inside source list 101 interface f0/0 overload
r1(config)#int f0/0
r1(config-if)#ip nat outside
r1(config)#int loopback 0
r1(config-if)#ip nat inside
R2的配置:
r2(config)#access-list 101 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
r2(config)#access-list 101 deny ip 2.2.2.0 0.0.0.255 3.3.3.0 0.0.0.255
r2(config)#access-list 101 permit ip 2.2.2.0 0.0.0.255 any
r2(config)#ip nat inside source list 101 interface f0/0 overload
r2(config)#int f0/0
r2(config-if)#ip nat outside
r2(config)#int loopback 0
r2(config-if)#ip nat inside
R3的配置:
R3(config)#access-list 101 deny ip 3.3.3.0 0.0.0.255 2.2.2.0 0.0.0.255
R3(config)#access-list 101 deny ip 3.3.3.0 0.0.0.255 1.1.1.0 0.0.0.255
R3(config)#access-list 101 permit ip 3.3.3.0 0.0.0.255 any
R3(config)#ip nat inside source list 101 interface f0/0 overload
R3(config)#int f0/0
R3(config-if)#ip nat outside
R3(config)#int loopback 0
R3(config-if)#ip nat inside
驗證效果,在ISP 上開啓一個loopback接口配置一個4.4.4.4模擬外網,全網互通。
階段2
北京到上海的***流量間接訪問北京公司內網不能直接訪問上海公司內網
流量必須經過香港的網關路由器
實現思路
清除R2與R3之間的IPSec ***配置
修改R1的ACL配置
清除R2與R3之間的IPSec ***配置
r2(config)#no crypto isakmp key 0 accp address 200.0.30.1
r2(config)#crypto map mymap 1 ipsec-isakmp
r2(config-crypto-map)#no set peer 200.0.30.1
r3(config)#no crypto isakmp key 0 accp address 200.0.20.1
r3(config)#crypto map mymap 1 ipsec-isakmp
r3(config-crypto-map)#no set peer 200.0.20.1
修改R1的ACL配置
r1(config)#access-list 100 permit ip 2.2.2.0 0.0.0.255 3.3.3.0 0.0.0.255 //在R1 上修改保護的數據流量,轉發R2訪問R3的數據流
r1(config)#access-list 100 permit ip 3.3.3.0 0.0.0.255 2.2.2.0 0.0.0.255 //轉發R3 訪問R2 的數據流量
驗證實驗效果
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章