华为***的配置
××× 概述:

       ××× 技术起初是为了解决明文数据在网络上传输所带来的安全隐患而产生的。TCP/IP 协议族中的很多协议都采用明文传输,如 Telnet、FTP、TFTP 等。一些***可能为了获取非法利益,通过    诸如窃听、伪装等***方式截获明文数据,使企业或个人蒙受损失。
       ××× 技术可以从某种程度上解决该问题。例如,它可以对公网上传输的数据进行加密,即使***通过某种窃听工具截获到数据,也无法了解数据信息的含义;也可以实现数据传输双方的身份验证,避免***伪装成网络中的合法用户***网络资源。

××× 的定义:

        ×××(Virtual Private Network,虚拟专用网)就是在两个网络实体之间建立的一种受保护的连接,这两个实体可以通过点到点的链路直接相连,但通常情况下它们会相隔较远的距离。
        对于定义中提到的“受保护”一词,可以从以下几个方面理解。
                 通过使用加密技术防止数据被窃听。
                 通过数据完整性验证防止数据被破坏、篡改。
                 通过认证机制实现通信方身份确认,来防止通信数据被截获和回放。
        此外,××× 技术还定义了:
                 何种流量需要被保护。
                 数据被保护的机制。
                 数据的封装过程。

实际工作环境中的 ××× 解决方案不一定包含上述所有功能,这要由具体的环境需求和实现方式决定。而且很多企业可能采用不止一种的 ××× 解决方案.

实验目的:
      pc1不能访问MSC1但能正常访问外网200.0.0.0/30
        Client1能访问MSC1访问不了外网

配置步骤及思路:
    1.配置ip
           pc1
                      ip           : 172.16.20.1
                      子网掩码: 255.255.255.0
                        网关     :   172.16.20.254
            Client1
                      ip           : 172.16.10.1
                      子网掩码: 255.255.255.0
                        网关     :   172.16.10.254
           MCS1
                      ip           : 10.10.33.1
                      子网掩码: 255.255.255.0
                     网关     :   10.10.33.254
2.配置路由器
       AR1: 
                     interface  g0/0/0                                                                                进入端口
                            ip  address 172.16.10.254  255.255.255.0                                  配置网关
                     interface  g0/0/2                                                                                进入端口
                            ip  address 172.16.20.254   255.255.255.0                                配置网关
                     interface  g0/0/1                                                                                进入端口
                            ip  address 100.0.0.1   255.255.255.252                                    配置网段
写一条默认路由交给下一跳
               ip route-static 0.0.0.0  0.0.0.0  100.0.0.2
      AR2:        
                    interface  g0/0/0                                                                                  进入端口
                            ip  address  100.0.0.2  255.255.255.252                                    配置网段
                    interface  g0/0/1                                                                                  进入端口
                            ip  address  200.0.0.1  255.255.255.252                                    配置网段
     AR3: 
                     interface  g0/0/0                                                                                进入端口
                            ip  address 200.0.0.2  255.255.255.252                                    配置网关
                     interface  g0/0/1                                                                                进入端口
                            ip  address 10.10.33.254  255.255.255.0                                  配置网关
写一条默认路由交给下一跳
               ip route-static 0.0.0.0  0.0.0.0  200.0.0.1
3.配置×××
            AR1:
                         ike proposal 1                                  // 创建安全提议
                            encryption-algorithm 3des-cbc         //配置加密算法
                            authentication-algorithm md5          // 配置认证算法,默认采用md5
                            authentication-method pre-share    //默认为预共享秘钥
                            dh group2                                       //默认为group1           

                        ike peer 200.0.0.2 v1                       //配置对等体
                            pre-shared-key simple tedu
                            ike-proposal 1
                            remote-address 200.0.0.2            //配置对端ip地址
                配置ACL
                         acl number 3000  
                           rule 5 permit ip source 172.16.10.0 0.0.0.255 destination            10.10.33.0  0.0.0.255                                   //要去访问的源ip和目标ip

                        ipsec proposal 1                           //创建安全提议
                           transform ah-esp                         // 配置传送数据时安全协议

                        ipsec policy yf 1 isakmp                //创建安全策略,序号越小,越好
                          security acl 3000
                          ike-peer 200.0.0.2                      //在安全策略中引用ike-peer
                          proposal 1                                 // 在安全策略中引用安全提议

                        interface GigabitEthernet0/0/1
                         ipsec policy yf                           //策略应用在接口上
              AR2:
                         ike proposal 1                                  // 创建安全提议
                            encryption-algorithm 3des-cbc         //配置加密算法
                            authentication-algorithm md5          // 配置认证算法,默认采用md5
                            authentication-method pre-share    //默认为预共享秘钥
                            dh group2                                       //默认为group1           

                        ike peer 100.0.0.1 v1                       //配置对等体
                            pre-shared-key simple tedu
                            ike-proposal 1
                            remote-address 100.0.0.1            //配置对端ip地址
                配置ACL
                         acl number 3000  
                         rule 5 permit ip source 10.10.33.0 0.0.0.255 destination 172.16.10.0 0.0.0.255                                 //要去访问的源ip和目标ip
                    ipsec proposal 1                           //创建安全提议
                         transform ah-esp                         // 配置传送数据时安全协议

                    ipsec policy yf 1 isakmp                //创建安全策略,序号越小,越好
                         security acl 3000
                         ike-peer 100.0.0.1                      //在安全策略中引用ike-peer
                         proposal 1                                 // 在安全策略中引用安全提议

                    interface GigabitEthernet0/0/0
                         ipsec policy yf                           //策略应用在接口上

验证.测试:

       Client1访问  MCS1

华为***的配置

6.配置动态PAT
         acl number 2000     
               rule 0 permit source 172.16.20.0  0.0.0.255                                             要访问的网段
                     int g0/0/0                                                                                                    进入端口调用
                     nat outbound 2000
        验证.测试
             pc1访问外网200.0.0.1

华为***的配置