實驗目的:
總公司和兩個分公司之間走×××,總公司網絡邊界爲ASA,配置動態×××,使得兩個分公司都可以接入總公司內網。
拓撲圖:
實驗配置要點:
分公司R3配置ip地址和靜態路由即可(不配置靜態路由也可以,因爲dhcp獲取到地址後會生成一個管理距離爲255的靜態路由)
R6配置ip地址和dhcp服務即可。
ASA配置:
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto dynamic-map dmap 1 set transform-set myset
//此設置可以使ASA自動生成一條靜態路由,目標地址爲×××對端的內網網段
crypto dynamic-map dmap 1 set reverse-route
crypto map mymap 1 ipsec-isakmp dynamic dmap //調用dmap
crypto map mymap interface outside //應用map到outside接口
crypto isakmp enable outside
isakmp key gezi123 address 0.0.0.0 netmask 0.0.0.0 //PSK密鑰,對端允許所有地址。
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
route outside 0.0.0.0 0.0.0.0 16.16.16.6
interface Ethernet0/0
nameif outside
security-level 0
ip address 10.10.10.1 255.255.255.0
interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
R3配置:
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key gezi123 address 10.10.10.1 //配置對端地址和psk
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac //定義轉換集
!
crypto map mymap 1 ipsec-isakmp //定義map
set peer 10.10.10.1
set transform-set myset
match address 100
!
interface Loopback0
ip address 3.3.3.3 255.255.255.0
!
interface FastEthernet0/0
ip address dhcp
duplex half
crypto map mymap
!
ip route 0.0.0.0 0.0.0.0 36.36.36.6
access-list 100 permit ip 3.3.3.0 0.0.0.255 192.168.1.0 0.0.0.255 //定義要走×××的流量
R2配置
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key gezi123 address 16.16.16.1
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map mymap 1 ipsec-isakmp
set peer 10.10.10.1
set transform-set myset
match address 100
!
interface Loopback0
ip address 2.2.2.2 255.255.255.0
interface Serial1/2
ip address 26.26.26.2 255.255.255.0
serial restart-delay 0
clock rate 64000
crypto map mymap
ip route 0.0.0.0 0.0.0.0 26.26.26.6
!
access-list 100 permit ip 2.2.2.0 0.0.0.255 192.168.1.0 0.0.0.255
總結:
此實驗環境下,動態建立×××,維護方便,添加新的×××設備也方便:總公司配置不用變,只需新增加的分公司配置×××即可。要求總公司外網接口必須是靜態的ip,分公司可以是靜態的,也可以是動態的。類似於hub_spoke結構,本實驗模擬器下無法完成,配置沒有問題,暫缺實驗驗證部分。
此環境的雖然比L2L_×××(site_to_site)有了很大的可用性,但是不足之處就是不能支持路由協議,多公司內網相互訪問不太方便,只需要配置GRE即可配置路由協議。因爲GRE Tunnel只支持路由器,不支持集中器和PIX以及ASA。所以運行在路由器上的Dyncmic_P2P_GRE_Over_IPsec_×××就可以配置路由協議。