某某企业***拓扑:

防止总公司与分公司的研发数据被窃取所用

因公司发展需要以下几点:
1.研发小组允许访问总公司的服务器,但是不能上internet网
2.其他员工允许上网,不允许访问服务器

配置思路以及步骤
1.因为研发人员掌握公司机密,为了避免在流量传输时被窃取,所以采用***通道来保证一定的安全性
2.禁止其他员工访问服务器,需要用到acl来限制流量

名词解析

***:(Virtual Private Network,虚拟专用网)
使用加密技术防止数据被窃听
数据完整性验证防止数据被破坏、篡改
通过认证机制确认身份,防止数据被截获、回放

ACL:(Access Control List,ACL) 访问控制列表
是路由器和交换机接口的指令列表,用来控制端口进出的数据包。

PAT:(Port Address Translation,端口地址转换)
改变外出数据包的源IP地址和源端口
内网的所有主机均可共享一个合法的外部IP地址访问互联
网,从而最大限度的节约IP地址

配置步骤:

第一步:先配置ip地址
R0地址:
interface FastEthernet0/0
ip address 172.16.20.254 255.255.255.0

interface FastEthernet0/1
ip address 172.16.10.254 255.255.255.0

interface Ethernet1/0
ip address 192.168.1.1 255.255.255.0

路由配置
ip route 0.0.0.0 0.0.0.0 192.168.1.2
R1地址:
interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.0

interface FastEthernet0/1
ip address 100.0.0.1 255.255.255.252

路由配置
ip route 172.16.10.0 255.255.255.0 192.168.1.1
ip route 172.16.20.0 255.255.255.0 192.168.1.1
ip route 200.0.0.0 255.255.255.252 100.0.0.2
ip route 10.10.33.0 255.255.255.0 100.0.0.2

R internet 网地址
interface FastEthernet0/0
ip address 100.0.0.2 255.255.255.252

interface FastEthernet0/1
ip address 200.0.0.2 255.255.255.0

R2地址
interface FastEthernet0/0
ip address 200.0.0.1 255.255.255.252

interface FastEthernet0/1
ip address 10.10.33.254 255.255.255.0

路由配置
ip route 0.0.0.0 0.0.0.0 200.0.0.2

pc0ip
防止总公司与分公司的研发数据被窃取所用

pc1 ip
防止总公司与分公司的研发数据被窃取所用

服务器ip
防止总公司与分公司的研发数据被窃取所用

配置***

配置ISAKMP 策略
R1config)#crypto isakmp policy 1 配置ISAKMP策略 1
R1(config-isakmp)#encryption 3des 使用加密方式为3des加密
R1config-isakmp)#hash sha 配置哈希算法sha
R1config-isakmp)#authentication pre-share 采用预共享密钥方式
R1config-isakmp)#group 2 算法密钥长度为组2 ,长度1024
R1config)#crypto isakmp key tedu address 200.0.0.1 配置加密协议 isakmp 密钥 tedu 指定地址为 200.0.0.1

配置acl
R1config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255 配置acl 100 允许172.16.10.0 网段访问 10.10.33.0网段

配置IPSce策略(转换集)
R1config)#crypto ipsec transform-set yf-set ah-sha-hmac esp-des 配置加密ipsec 策略转换集 名称为 yf-set 支持ah-sha-hmac

配置加密映射集
R1config)#crypto map yf-map 1 ipsec-isakmp 配置映射集yf-map 1 协议为 ipsec-isakmp
R1config-crypto-map)#set peer 200.0.0.1 配置要建立邻居的外网地址200.0.0.1
R1config-crypto-map)#set transform-set yf-set 添加ipsec 策略转换集 yf-set
R1config-crypto-map)#match address 100 匹配acl 100

将映射集应用在接口
R1config)#int f0/1
R1config-if)#crypto map yf-map 将外网口调用映射集

R2配置

R2config)#crypto isakmp policy 1
R2config-isakmp)#encryption 3des
R2config-isakmp)#hash sha
R2config-isakmp)#authentication pre-share
R2config-isakmp)#group 2
R2config)#crypto isakmp key tedu address 100.0.0.1

配置acl
R2config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255

配置IPSec 策略
R2config)#crypto ipsec transform-set yf-set ah-sha-hmac esp-des

配置加密映射集
R2config)#crypto map yf-map 1 ipsec-isakmp
R2config-crypto-map)#set peer 100.0.0.1
R2config-crypto-map)#set transform-set yf-set
R2config-crypto-map)#match address 100

将映射集应用在接口
R2config)#int f0/0
R2config-if)#crypto map yf-map

R1配置PAT

Router(config)#access-list 1 permit 172.16.20.0 0.0.0.255

Router(config)#ip nat inside source list 1 interface f0/1 overload

Router(config)#int f0/1

Router(config-if)#ip nat outside

Router(config-if)#int f0/0

Router(config-if)#ip nat inside

验证:

*1.查看***通道的状态

防止总公司与分公司的研发数据被窃取所用

此状态表示管理连接成功

2.pc0也就是其他员工可以上网
防止总公司与分公司的研发数据被窃取所用

但是不能访问服务器
防止总公司与分公司的研发数据被窃取所用

*3.pc1,研发小组不能上网但是可以访问服务器
防止总公司与分公司的研发数据被窃取所用

验证pat地址转换
防止总公司与分公司的研发数据被窃取所用

有人问我:我们公司的研发小组的员工也想上网
那我能说什么
只能说很简单
加一条命令的事,这都不叫事

研发小组也能上网的配置:
都是基于上面的配置
配置命令:

R1上面配置
R1config)#access-list 110 deny ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255
R1config)#access-list 110 permit ip any any
R1config)#ip nat inside source list 110 interface f0/1 overload
R1config)#int f0/1
R1config-if)#ip nat outside
R1config-if)#int f0/0
R1config-if)#ip nat inside

验证:

研发小组PC1访问internet
防止总公司与分公司的研发数据被窃取所用