實驗說明:飛龍公司進一步擴大,在上海已經建立分公司,現在要實現通過×××的配置實現我上海分公司和我北京總公司的內部網絡互通,但是是上海分公司是ADSL接入,通過運營商的地址協商獲取地址,所以IP地址不確定,下面通過動態單點×××實驗此功能。
實驗拓撲:
IP具體配置如下,實驗中不做配置
PC1 | 172.16.237.1/24 網關:172.16.237.50 | |||
PC2 | 172.16.238.1/24 網關:172.16.238.50 | |||
R1 | F0/0 | 172.16.237.50 | F1/0 | 地址協商獲取 |
R2 | F1/0 | 100.0.0.2 | F2/0 | 200.0.0.2 |
R3 | F2/0 | 200.0.0.1 | F0/0 | 172.168.238.50 |
實驗思路:
1 本章不模擬地址協商自動獲取 ,通過手動配置IP 模擬環境
2 在R1和R3 上做默認路由
3 做NAT轉換 ,定義那些數據的IP 進行轉換
4 定義IKE協商參數(管理連接安全聯盟)
5 定義IPsec參數(數據連接安全聯盟)
6 定義map (對等體是誰,保護的方法,保護誰)
7 將map應用到接口
8 測試網絡的連通性並查看實驗結果
配置步驟如下:
1配置默認路由
R1(config)#ip route 0.0.0.0 0.0.0.0 fastEthernet 1/0(基於接口)
R3 (config)#ip route 0.0.0.0 0.0.0.0 fastEthernet 1/1(基於接口)
2 配置NAT轉換所定義的ACL(端口多路複用PAT)
R1(config)#access-list 101 deny ip 192.168.237.0 0.0.0.255 192.168.238.0 0.0.0.255
R1(config)# access-list 101 permit ip any any(先拒絕到私網的,然後允許到公網的)
R3(config)#access-list 101 deny ip 192.168.238.0 0.0.0.255 192.168.237.0 0.0.0.255
R3(config)#access-list 101 permit ip any any(先拒絕到私網的,然後允許到公網的)
3 將ACL和端口關聯起來,並在端口開啓NAT轉換
R1(config)#ip nat inside source list 101 interface f1/0 overload(注意)
R1(config)#interface f1/0
R1(config-if)#ip nat outside(在連接外網的接口上)
R1(config)#interface f0/0
R1(config-if)#ip nat inside(在連接內網的接口上)
R3(config)#ip nat inside source list 101 interface f1/1 overload(注意)
R3(config)#interface f1/1
R3(config-if)#ip nat outside(在連接外網的接口上)
R3(config)#interface f0/0
R3(config-if)#ip nat inside(在連接內網的接口上)
4 爲了驗證×××是否配置成功 (先給F1/0配置臨時IP 100.0.0.1/8 )
c1 ping 100.0.0.2 測試聯通沒有問題 在路由R1查看
R1#ebug ip nat
IP NAT debugging is on
*Sep 20 12:48:51.855: NAT: s=192.168.237.1->100.0.0.1, d=100.0.0.2 [40]
*Sep 20 12:48:52.015: NAT*: s=100.0.0.2, d=100.0.0.1->192.168.237.1 [40]
*Sep 20 12:48:52.147: NAT*: s=192.168.237.1->100.0.0.1, d=100.0.0.2 [41]
*Sep 20 12:48:52.211: NAT*: s=100.0.0.2, d=100.0.0.1->192.168.237.1 [41]
Pc2 ping 公網也沒有問題 NAT轉換也成功
NAT 配置成功
5 配置管理連接安全聯盟(IKE)
R1onfig)#crypto isakmp policy 1 (數值越小,優先級越高)
R1config-isakmp)#hash md5 (密鑰認證所使用的算法)
R1config-isakmp)#encryption 3des(設置加密所使用的算法)
R1config-isakmp)#authentication pre-share(告訴路由要使用預先共享密鑰,此密碼是手動設置的)
R1config)#crypto isakmp key passwd address 200.0.0.1(設置預共享的密碼,兩端必須一樣.設置對等體)
R3(config)#crypto isakmp policy 1 (數值越小,優先級越高)
R3(config-isakmp)#hash md5 (密鑰認證所使用的算法)
R3(config-isakmp)#encryption 3des(設置加密所使用的算法)
R3(config-isakmp)#authentication pre-share(告訴路由要使用預先共享密鑰,此密碼是手動設置的)
R3onfig)#crypto isakmp key passwd address 0.0.0.0(設置預共享的密碼,兩端必須一樣.這裏的對等體地址不確定,所以使用0.0.0.0 後面配置動態TED探測)
6 定義觸發IPsec保護感興趣
R1(config)#access-list 102 permit ip 192.168.237.0 0.0.0.255 192.168.238.0 0.0.0.255
R3(config)#access-list 102 permit ip 192.168.238.0 0.0.0.255 192.168.237.0 0.0.0.255
7配置數據連接安全聯盟(IPsec傳輸模式)
(傳輸模式定義×××隧道的認證類型,完整性和負載加密)
R1(config)#crypto ipsec transform-set t33 ah-md5-hmac esp-des esp-md5-hmac(藍色標記爲名字,可以同時使用3種傳輸模式)(兩端配置必須互爲鏡象
R2(config)#crypto ipsec transform-set t33 ah-md5-hmac esp-des esp-md5-hmac(藍色標記爲名字,可以同時使用3種傳輸模式) (兩端配置必須互爲鏡象
8定義map,將×××隧道需要的信息整合到一起,應用到接口上
R1(config)#crypto map zhang 1 ipsec-isakmp
R1(config-crypto-map)#set peer 200.0.0.1 (設置對等體)
R1(config-crypto-map)#set transform-set t33 (將前面設置的transform-set關聯起來)
R1(config-crypto-map)#match address 102 (定義map使用的訪問列表,保護那些數據)
R3(config)#crypto dynamic-map hao 1 (創建一個動態的map ,這裏用dynamic-map動態映射。藍色標識名字,紫色標識優先級)
R3(config-crypto-map)#set transform-set t33 (將前面設置的transform-set關聯起來)
R3(config-crypto-map)#match address 102 (定義map使用的訪問列表,保護那些數據)
R3(config) #crypto map zhang 1 ipsec-isakmp dynamic hao discover(在創建一個靜態的map zhang和前面創建的dynamic hao關聯起來, discover用於TED終點隧道探測)
9將map 映射到端口
R1(config)#interface f1/0
R1(config-if)#crypto map zhang (一般都是應用在連接外網的接口上)
R3(config)#interface f1/1
R3(config-if)#crypto map zhang (一般都是應用在連接外網的接口上)
10 模擬環境,爲F1/0配置一個IP 爲 100.0.0.5/8(注意必須和所連公網在同一網段)
完成以上步驟之後,測試兩個內部網絡是否可以正常通訊
PC1#ping 192.168.238.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.238.1, timeout is 2 seconds:
!!!!!
Success rate is 60 percent (5/5), round-trip min/avg/max = 280/354/452 ms
PC2#ping 192.168.237.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.237.1, timeout is 2 seconds:
!!! !!!
Success rate is 40 percent (5/5), round-trip min/avg/max = 356/1154/1952 ms
過測試之後,發現兩個私有網絡可以互通 ,動態×××配置成功
11 查看對等體關聯狀態 show crypto isakmp sa
R1#show crypto isakmp sa
dst src state conn-id slot
200.0.0.1 100.0.0.5 QM_ IDLE 1 0
R3#show crypto isakmp sa
dst src state conn-id slot
200.0.0.1 100.0.0.5 QM_ IDLE 1 0
查看結果爲兩端的對等建立連接成功
12 模擬環境 更改 R1 上的F1/0接口的IP 查看是否能自動建立成功
R1(config)#interface f1/0
R1(config-if)#ip address 100.0.0.10 255.0.0.0
測試是否可以通訊(結果可以正常通訊)
PC1#ping 192.168.238.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.238.1, timeout is 2 seconds:
!!!!!
Success rate is 60 percent (5/5), round-trip min/avg/max = 280/354/452 ms
PC2#ping 192.168.237.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.237.1, timeout is 2 seconds:
!!! !!!
Success rate is 40 percent (5/5), round-trip min/avg/max = 356/1154/1952 ms
查看對等體關聯狀態
R1#show crypto isakmp sa(在R1上發現有兩條)
dst src state conn-id slot
200.0.0.1 100.0.0.5 QM_ IDLE 1 0
200.0.0.1 100.0.0.10 QM_ IDLE 2 0
R3#show crypto isakmp sa(在R3上發現也有兩條)
dst src state conn-id slot
200.0.0.1 100.0.0.5 QM_ IDLE 1 0
200.0.0.1 100.0.0.10 QM_ IDLE 2 0
查看結果後發現 ,有兩條安全關聯,這是因爲第一個建立的的老化時間還爲到呢,可以用以下命令清除(R3#clear crypto isakmp 1)爲安全關聯的編號。
實驗說明:在模擬動態×××建立的過程中可能會有些時間延長 ,一般配置沒有問題,等一會就可以建立成功了 。這中×××的配置經常應用於ADSL接入自動協商IP地址的企業裏。
相關調試命令 (用於排錯)
show crypto isakmp policy(協商的策略以及最後的默認策略設置)
show crypto ipsec transform-set(顯示路由上設置的transform-set)
show crypto isakmp sa(顯示當前安全聯盟的設置)
show crypto map(在路由器上配置的map )
排錯考慮的幾點:
查看NAT定義的轉換IP的訪問列表是否正確
查看IPsec定義保護的數據列表是否正確
查看指定的預共享密鑰是否相同
兩端IKE協商的參數是否相同
兩端IPsec協商的參數是否相同
定義的map是否正確 以及應用端口是否正確
實驗配置完成,希望大家能留下寶貴的意見