网络主机可以通过VPN访问总公司开发数据服务器

原创

Dwayne王泽斌 2018-02-06 11:15:59 ©著作权

文章标签 PAT VPN 文章分类 运维

©著作权归作者所有：来自51CTO博客作者Dwayne王泽斌的原创作品，请联系作者获取转载授权，否则将追究法律责任

实验：某软件公司在中小城市建立分公司，分支公司开发项目小组所网络地址为 172.16.10.0/24 该网络主机可以通过×××访问总公司开发数据服务器 (10.10.33.0/24)

思路与配置： 1.配置R0： 0端口ip：172.16.20.254 255.255.255.0 1端口ip：172.16.10.254 255.255.255.0 2端口ip：172.16.30.1 255.255.255.0 配置默认路由 ip route 0.0.0.0 0.0.0.0 172.16 30.254 2.配置R1： 0端口ip：172.16.30.254 255.255.255.0 1端口ip：100.0.0.1 255.255.255.252 配置默认路由 ip route 0.0.0.0 0.0.0.0 100.0.0.2 配置静态路由 ip route 172.16.10.0 255.255.255. 0 172.16.30.1 ip route 172.16.20.0 255.255.255. 0 172.16.30.1 3.配置ISP： 0端口ip：100.0.0.2 255.255.255.252 1端口ip：200.0.0.2 255.255.255.252 4.配置R2： 0端口ip：200.0.0.1 255.255.255.252 1端口ip：10.10.33.254 255.255.255.0 配置默认路由 ip route 0.0.0.0 0.0.0.0 200.0.0.2 5.此时pc机只能ping到R1 而不能到达外网

在R1上配置NAT 使pc0可以访问外网 access-list 1 permit 172.16.20.0 0.0.0.255 ip nat inside sourse list 1 interface f0/1 overload

interface f0/1 ip nat outside interface f0/0 ip nat inside 此时pc0可以访问外网即 ping同外网 6.在R1和R2上配置××× 是研发小组可以ping 通研发服务器配置R1 配置ISKMP策略 cryption isakmp policy 1 encryption 3des hash sha authentication pre-share group 2 cryption isakmp key tedu address 200.0.0.1 配置ACL access-list 100 permit ip 176.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255 配置IPsec策略（转换集） crypto ipsec transform-set yf-set esp-des esp-sha-hmac 配置加密映像集 crypto map yf-map 1 ipsec-isakmp set peer 200.0.0.1 set transform-set yf-set match address 100 将映射集应用在接口 interface f0/1 crypto map yf-map 配置R2 配置ISKMP策略 cryption isakmp policy 1 encryption 3des hash sha authentication pre-share group 2 crypto isakmp key tedu address 100.0.0.1 配置ACL access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255 配置IPsec策略（转换集） crypto ipsec transform-set yf-set esp-des esp-sha-hmac 配置加密映像集 crypto map yf-map 1 ipsec-isakmp set peer 100.0.0.1 set transform-set yf-set match address 100 将映射集应用在接口 interface f0/0 crypto map yf-map 此时pc1研发小组可以 ping 通 server0研发服务器此时pc1研发小组可以访问 server0研发服务器的web

1.流量走PAT 不走××× 配置R1 accecc-list 1 permit 172.16.10.0 0.0.0.255 ip nat inside source list 1 interface f0/1 overload interface f0/1 ip nat outside

interface f0/0 ip nat inside 2.流量可以走PAT, 也可以走××× 配置R1 access-list 110 deny ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255 access-list 110 permit ip any any ip nat inside source list 110 interface f0/1 overload interface f0/1 ip nat outside

interface f0/0 ip nat inside