某软件开发公司在中小城市建立了分支公司,分支公司开发项目小组所在网络地址为 172.16.10.0/24,该网络的主机可以通过 *** 访问总公司开发数据服务器
(10.10.33.0/24)。分支公司的其他客户端(172.16.20.0/24 网段)可以访问 Internet。
根据上述需求,网络管理员需要在分支公司的网关路由器上同时配置 *** 和 PAT。

注意:

相关知识请看本人上一篇文章《带你认识IPSec ***》。

实验拓扑:

某软件公司分支公司到总公司的秘密通道

地址规划:

某软件公司分支公司到总公司的秘密通道

实验步骤:

一、 配置IP地址及掩码

研发小组:
某软件公司分支公司到总公司的秘密通道
其他客户端:
某软件公司分支公司到总公司的秘密通道
研发服务器:
某软件公司分支公司到总公司的秘密通道
R0:

Router>enable 
Router#configure terminal 
Router(config)#hostname R0
R0(config)#int gi0/0
R0(config-if)#ip address 172.168.20.254 255.255.255.0
R0(config-if)#no shutdown
R0(config-if)#int gi0/1
R0(config-if)#ip address 172.168.10.254 255.255.255.0
R0(config-if)#no shutdown
R0(config-if)#int gi0/2
R0(config-if)#ip address 172.10.10.1 255.255.255.0
R0(config-if)#no shutdown

R1:

Router>enable 
Router#configure terminal 
Router(config)#hostname R1
R1(config)#int fa0/0
R1(config-if)#ip address 172.10.10.2 255.255.255.0
R1(config-if)#no shutdown 
R1(config-if)#int fa0/1
R1(config-if)#ip address 100.0.0.1 255.255.255.252
R1(config-if)#no shutdown

R2:

Router>enable
Router#configure terminal 
Router(config)#hostname R2
R2(config)#int fa0/0
R2(config-if)#ip address 200.0.0.1 255.255.255.252
R2(config-if)#no shutdown 
R2(config-if)#int fa0/1
R2(config-if)#ip address 10.10.33.254 255.255.255.0
R2(config-if)#no shutdown

ISP运营商:

Router>enable
Router#configure terminal 
Router(config)#hostname ISP
ISP(config)#int fa0/0
ISP(config-if)#ip address 100.0.0.2 255.255.255.252
ISP(config-if)#no shutdown 
ISP(config-if)#int fa0/1
ISP(config-if)#ip addres00.0.0.2 255.255.255.252
ISP(config-if)#no shutdown

二、 配置路由

1. 在R0上配置默认路由

R0(config)#ip route 0.0.0.0 0.0.0.0 172.10.10.2

2. 在R1上配置静态路由

R1(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2
R1(config)#ip route 172.168.20.0 255.255.255.0 172.10.10.1
R1(config)#ip route 172.168.10.0 255.255.255.0 172.10.10.1

3. 在R2上配置默认路由

R2(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2

三、 配置NAT

R1(config)#int fa0/0
R1(config-if)#ip nat inside 
R1(config-if)#int fa 0/1
R1(config-if)#ip nat outside
R1(config-if)#exit
R1(config)#access-list 1 permit 172.168.20.0 0.0.0.255
R1(config)#ip nat inside source list 1 interface fa0/1 overload

四、 配置IPSec ***

R1:
配置ISAKMP策略

R1(config)#crypto isakmp policy 1//配置ISAKMP策略1
R1(config-isakmap)#encryption 3des //使用加密方式为3DES加密(定义保密级别)
R1(config-isakmap)#hash sha // 设置哈希算法为sha         
R1(config-isakmap)#authentication pre-share //采用预共享密钥方式
R1(config-isakmap)#group 2 //指定DH算法的密钥长度为组2(DH组1的有效 密钥长度为768,DH组2的有效密钥长度为1 024, DH组 5 的有效密钥长度为1 536 密)
R1(config)#crypto isakmp key tedu address 200.0.0.1 //设置加密协议 isakmp 密钥为tedu指定地址为200.0.0.1

配置ACL

R1(config)#access-list 100 permit ip 172.168.10.0 0.0.0.255 10.10.33.0 0.0.0.255 //设置acl 100 允许172.16.100.0网段访问10.10.33.0 网段

配置ipsec策略(转换集)

R1(config)#crypto ipsec transform-set yf-set ah-sha-hmac esp-des //设置加密ipsec策略转换集名称为yf-set支持ah-sha-hmac

配置加密映射集

R1(config)#crypto map yf-map 1 ipsec-isakmp //设置映射集 yf-map 1 协议为  ipsec-isakmp
R1(config-crypto-map)#set peer 200.0.0.1 //配置要建立领居的外网地址
R1(config-crypto-map)#set transform-set yf-set//添加ipsec策略转换集 yf-set
R1(config-crypto-map)#match address 100 //匹配acl 100

将映射集应用在接口

R1(config)#interface f0/1//进入端口
R1(config-if)#crypto map yf-map//在外网口调用映射集
注释:R2配置步骤与R1相同,不过在配置建立邻居的地址时选择的是R1的外网口地址

R2:
配置ISAKMP策略

R2(config)#crypto isakmp policy 1 //配置ISAKMP策略1
R2(config-isakmap)#encryption 3des //使用加密方式为3DES加密(定义保密级别)
R2(config-isakmap)#hash sha //设置哈希算法为sha   
R2(config-isakmap)#authentication pre-share //采用预共享密钥方式
R2(config-isakmap)#group 2 //指定DH算法的密钥长度为组2(DH组1的有效 密钥长度为768,DH组2的有效密钥长度为1 024, DH组 5 的有效密钥长度为1 536 密)
R2(config)#crypto isakmp key tedu address 100.0.0.1 //设置加密协议 isakmp 密钥为tedu指定地址为100.0.0.1

配置ACL

R2(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255 //设置acl 100 允许10.10.33.0网段访问网段172.16.100.0

配置ipsec策略(转换集)

R2(config)#crypto ipsec transform-set yf-set ah-sha-hmac esp-des//设置加密ipsec策略转换集名称为yf-set支持ah-sha-hmac

配置加密映射集

R2(config)#crypto map yf-map 1 ipsec-isakmp //设置映射集 yf-map 1 协议为  ipsec-isakmp
R2(config-crypto-map)#set peer 100.0.0.1 //配置要建立领居的外网地址
R2(config-crypto-map)#set transform-set yf-set //添加ipsec策略转换集yf-set
R2(config-crypto-map)#match address 100 //匹配ACL 100

将映射集应用在接口

R2(config)#interface f0/0 //进入端口
R2(config-if)#crypto map yf-map //在外网口调用映射集

验证与测试:

1. 其他客户端可以访问外网
某软件公司分支公司到总公司的秘密通道
2. 地址转换
首先在R1上开启debug ip nat
R1:
某软件公司分支公司到总公司的秘密通道
然后在R2上开启debug ip packet
R2:
某软件公司分支公司到总公司的秘密通道
3. 研发小组可以访问总公司开发数据服务器,但不能访问internet
A. 可以ping通
某软件公司分支公司到总公司的秘密通道

B. 可以访问HTTP服务
某软件公司分支公司到总公司的秘密通道

C. 不可以访问Internet
某软件公司分支公司到总公司的秘密通道

D. 用命令查看***通道的连接状态
R1:
某软件公司分支公司到总公司的秘密通道
R3:
某软件公司分支公司到总公司的秘密通道