实验目的:
总公司和两个分公司之间走×××,总公司网络边界为ASA,配置动态×××,使得两个分公司都可以接入总公司内网。
拓扑图:
实验配置要点:
分公司R3配置ip地址和静态路由即可(不配置静态路由也可以,因为dhcp获取到地址后会生成一个管理距离为255的静态路由)
R6配置ip地址和dhcp服务即可。
ASA配置:
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto dynamic-map dmap 1 set transform-set myset
//此设置可以使ASA自动生成一条静态路由,目标地址为×××对端的内网网段
crypto dynamic-map dmap 1 set reverse-route
crypto map mymap 1 ipsec-isakmp dynamic dmap //调用dmap
crypto map mymap interface outside //应用map到outside接口
crypto isakmp enable outside
isakmp key gezi123 address 0.0.0.0 netmask 0.0.0.0 //PSK密钥,对端允许所有地址。
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
route outside 0.0.0.0 0.0.0.0 16.16.16.6
interface Ethernet0/0
nameif outside
security-level 0
ip address 10.10.10.1 255.255.255.0
interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
R3配置:
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key gezi123 address 10.10.10.1 //配置对端地址和psk
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac //定义转换集
!
crypto map mymap 1 ipsec-isakmp //定义map
set peer 10.10.10.1
set transform-set myset
match address 100
!
interface Loopback0
ip address 3.3.3.3 255.255.255.0
!
interface FastEthernet0/0
ip address dhcp
duplex half
crypto map mymap
!
ip route 0.0.0.0 0.0.0.0 36.36.36.6
access-list 100 permit ip 3.3.3.0 0.0.0.255 192.168.1.0 0.0.0.255 //定义要走×××的流量
R2配置
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key gezi123 address 16.16.16.1
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map mymap 1 ipsec-isakmp
set peer 10.10.10.1
set transform-set myset
match address 100
!
interface Loopback0
ip address 2.2.2.2 255.255.255.0
interface Serial1/2
ip address 26.26.26.2 255.255.255.0
serial restart-delay 0
clock rate 64000
crypto map mymap
ip route 0.0.0.0 0.0.0.0 26.26.26.6
!
access-list 100 permit ip 2.2.2.0 0.0.0.255 192.168.1.0 0.0.0.255
总结:
此实验环境下,动态建立×××,维护方便,添加新的×××设备也方便:总公司配置不用变,只需新增加的分公司配置×××即可。要求总公司外网接口必须是静态的ip,分公司可以是静态的,也可以是动态的。类似于hub_spoke结构,本实验模拟器下无法完成,配置没有问题,暂缺实验验证部分。
此环境的虽然比L2L_×××(site_to_site)有了很大的可用性,但是不足之处就是不能支持路由协议,多公司内网相互访问不太方便,只需要配置GRE即可配置路由协议。因为GRE Tunnel只支持路由器,不支持集中器和PIX以及ASA。所以运行在路由器上的Dyncmic_P2P_GRE_Over_IPsec_×××就可以配置路由协议。