实验名称:×××及NAT应用

实验需求:

一、通过×××实现PC1访问Server1,但是无法访问互联网(ISP) 二、通过NAT实现PC0访问互联网(ISP),但是无法访问Server1 三、实现PC1即可以访问互联网(ISP),又可以访问Server1

IP地址规划:

配置思路:

一、通过×××实现PC1访问Server1,但是无法访问互联网(ISP) 1配置ISAKMP策略 2配置ACL控制条目 3配置IPSec策略(转换及) 4配置加密映射集 5将映射集应用在指定接口

二、通过NAT实现PC0访问互联网(ISP),但是无法访问Server1 1配置ACL控制条目 2将ACL控制条目应用在指定接口 3定义NAT出向/入向接口

三、实现PC1即可以访问互联网(ISP),又可以访问Server1 1配置ACL控制条目 2将ACL控制条目应用在指定接口

网络环境搭建:

Router1(分公司边界路由器) IP配置:

路由配置:

Router4(分公司内网路由器) IP配置:

路由配置:

ISP路由器配置 IP配置:

**Router3(总公司边界路由器) IP配置: **

**路由配置: **

实验步骤:

一、通过×××实现PC1访问Server1,但是无法访问互联网(ISP)

Router1

配置ISAKMP策略

crypto isakmp policy 1 //创建加密协议isakmp策略为1

encryption 3des //指定加密算法为 3des

hash sha //设置哈希算法为sha

authentication pre-share //采用预共享密钥方式

group 2 //指定DH算法的密钥长度为组2

**crypto isakmp key tedu address 200.0.0.1 ** //设置加密协议 isakmp 密钥为tedu指定地址为200.0.0.1

配置ACL

**access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255 ** //设置acl 100 允许172.16.100.0网段访问10.10.33.0 网段

配置IPSec策略(转换集) **crypto ipsec transform-set yf-set ah-sha-hmac esp-des ** //设置加密ipsec策略转换集名称为yf-set支持ah-sha-hmac

配置加密映射集

**crypto map yf-map 1 ipsec-isakmp ** //设置映射集 yf-map 1 协议为 ipsec-isakmp set peer 200.0.0.1 //与200.0.0.1端口建立邻居关系 set transform-set yf-set //添加ipsec策略转换集 yf-set match address 100 //匹配序列号为100的ACL访问条目

将映射集应用在接口

interface f0/1 //进入接口f0/1 **crypto map yf-map **//设置映射集 yf-map

Router3

配置ISAKMP策略

crypto isakmp policy 1 //设置加密协议isakmp策略为1

encryption 3des //设置加密算法为 3des

hash sha //设置哈希算法为sha

authentication pre-share //采用预共享密钥方式

group 2 //指定DH算法的密钥长度组2

**crypto isakmp key tedu address 100.0.0.1 ** //设置加密协议 isakmp 密钥为tedu指定地址为100.0.0.1 (密钥必须相同)

配置ACL

**access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255 ** //设置acl 100 允许10.10.33.0网段访问172.16.10.0 网段

配置IPSec策略(转换集)

**crypto ipsec transform-set yf-set ah-sha-hmac esp-des ** //设置加密ipsec策略转换集名称为yf-set支持ah-sha-hmac(加密和认证算法要与前者一致)

配置加密映射集

**crypto map yf-map 1 ipsec-isakmp ** //设置映射集 yf-map 1 协议为 ipsec-isakmp

set peer 100.0.0.1 //与100.0.0.1端口建立邻居关系

set transform-set yf-set //添加ipsec策略转换集 yf-set

match address 100 //匹配acl 100

将映射集应用在接口

interface f0/0 //进入接口f0/0

crypto map yf-map //设置映射集 yf-map

二、通过NAT实现PC0访问互联网(ISP),但是无法访问Server1

access-list 1 permit 172.16.20.0 0.0.0.255 //创建ACL条目 ip nat inside source list 1 interface f0/1 overload //将ACL条目应用在F0/1接口上 **int f0/1 ** //进入接口f0/1 **ip nat outside ** //将其定义为出向接口 int f0/0 //进入接口f0/0 **ip nat inside ** //将其定义为入向接口

三、实现PC1即可以访问互联网(ISP),又可以访问Server1

access-list 110 deny ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255 //创建1条ACL条目,此条目为扩展ACL(序列号100-199范围),拒绝源IP网络段为172.16.10.0通过任何IP网络协议访问目的网络段为10.10.33.0

access-list 110 permit ip any any //创建1条ACL条目,此条目为扩展ACL(序列号100-199范围),允许其余任何网络段之间进行互通。 ip nat inside source list 110 interface FastEthernet0/1 overload //将ACL条目110应用在F0/1接口上

验证

一、通过×××实现PC1访问Server1,但是无法访问互联网(ISP) PC1->Server1

二、通过NAT实现PC0访问互联网(ISP),但是无法访问Server1 PC0->ISP

三、实现PC1即可以访问互联网(ISP),又可以访问Server1 PC1->ISP