某软件公司分支公司到总公司的秘密通道

精选原创

王浩hh 2018-02-05 14:25:45 ©著作权

文章标签 达内 VPN 加密 文章分类 运维

©著作权归作者所有：来自51CTO博客作者王浩hh的原创作品，请联系作者获取转载授权，否则将追究法律责任

某软件开发公司在中小城市建立了分支公司，分支公司开发项目小组所在网络地址为 172.16.10.0/24，该网络的主机可以通过 ××× 访问总公司开发数据服务器（10.10.33.0/24）。分支公司的其他客户端（172.16.20.0/24 网段）可以访问 Internet。根据上述需求，网络管理员需要在分支公司的网关路由器上同时配置 ××× 和 PAT。 注意：

相关知识请看本人上一篇文章《带你认识IPSec ×××》。

实验拓扑：

地址规划：

实验步骤：

一、配置IP地址及掩码

研发小组： 其他客户端: 研发服务器： R0：

Router>enable 
Router#configure terminal 
Router(config)#hostname R0
R0(config)#int gi0/0
R0(config-if)#ip address 172.168.20.254 255.255.255.0
R0(config-if)#no shutdown
R0(config-if)#int gi0/1
R0(config-if)#ip address 172.168.10.254 255.255.255.0
R0(config-if)#no shutdown
R0(config-if)#int gi0/2
R0(config-if)#ip address 172.10.10.1 255.255.255.0
R0(config-if)#no shutdown

R1:

Router>enable 
Router#configure terminal 
Router(config)#hostname R1
R1(config)#int fa0/0
R1(config-if)#ip address 172.10.10.2 255.255.255.0
R1(config-if)#no shutdown 
R1(config-if)#int fa0/1
R1(config-if)#ip address 100.0.0.1 255.255.255.252
R1(config-if)#no shutdown

R2:

Router>enable
Router#configure terminal 
Router(config)#hostname R2
R2(config)#int fa0/0
R2(config-if)#ip address 200.0.0.1 255.255.255.252
R2(config-if)#no shutdown 
R2(config-if)#int fa0/1
R2(config-if)#ip address 10.10.33.254 255.255.255.0
R2(config-if)#no shutdown

ISP运营商：

Router>enable
Router#configure terminal 
Router(config)#hostname ISP
ISP(config)#int fa0/0
ISP(config-if)#ip address 100.0.0.2 255.255.255.252
ISP(config-if)#no shutdown 
ISP(config-if)#int fa0/1
ISP(config-if)#ip addres00.0.0.2 255.255.255.252
ISP(config-if)#no shutdown

二、配置路由

1. 在R0上配置默认路由

R0(config)#ip route 0.0.0.0 0.0.0.0 172.10.10.2

2. 在R1上配置静态路由

R1(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2
R1(config)#ip route 172.168.20.0 255.255.255.0 172.10.10.1
R1(config)#ip route 172.168.10.0 255.255.255.0 172.10.10.1

3. 在R2上配置默认路由

R2(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2

三、配置NAT

R1(config)#int fa0/0
R1(config-if)#ip nat inside 
R1(config-if)#int fa 0/1
R1(config-if)#ip nat outside
R1(config-if)#exit
R1(config)#access-list 1 permit 172.168.20.0 0.0.0.255
R1(config)#ip nat inside source list 1 interface fa0/1 overload

四、配置IPSec ×××

R1： 配置ISAKMP策略

R1(config)#crypto isakmp policy 1//配置ISAKMP策略1
R1(config-isakmap)#encryption 3des //使用加密方式为3DES加密（定义保密级别）
R1(config-isakmap)#hash sha // 设置哈希算法为sha         
R1(config-isakmap)#authentication pre-share //采用预共享密钥方式
R1(config-isakmap)#group 2 //指定DH算法的密钥长度为组2（DH组1的有效 密钥长度为768，DH组2的有效密钥长度为1 024， DH组 5 的有效密钥长度为1 536 密）
R1(config)#crypto isakmp key tedu address 200.0.0.1 //设置加密协议 isakmp 密钥为tedu指定地址为200.0.0.1

配置ACL

R1(config)#access-list 100 permit ip 172.168.10.0 0.0.0.255 10.10.33.0 0.0.0.255 //设置acl 100 允许172.16.100.0网段访问10.10.33.0 网段

配置ipsec策略（转换集）

R1(config)#crypto ipsec transform-set yf-set ah-sha-hmac esp-des //设置加密ipsec策略转换集名称为yf-set支持ah-sha-hmac

配置加密映射集

R1(config)#crypto map yf-map 1 ipsec-isakmp //设置映射集 yf-map 1 协议为  ipsec-isakmp
R1(config-crypto-map)#set peer 200.0.0.1 //配置要建立领居的外网地址
R1(config-crypto-map)#set transform-set yf-set//添加ipsec策略转换集 yf-set
R1(config-crypto-map)#match address 100 //匹配acl 100

将映射集应用在接口

R1(config)#interface f0/1//进入端口
R1(config-if)#crypto map yf-map//在外网口调用映射集
注释：R2配置步骤与R1相同，不过在配置建立邻居的地址时选择的是R1的外网口地址

R2： 配置ISAKMP策略

R2(config)#crypto isakmp policy 1 //配置ISAKMP策略1
R2(config-isakmap)#encryption 3des //使用加密方式为3DES加密（定义保密级别）
R2(config-isakmap)#hash sha //设置哈希算法为sha   
R2(config-isakmap)#authentication pre-share //采用预共享密钥方式
R2(config-isakmap)#group 2 //指定DH算法的密钥长度为组2（DH组1的有效 密钥长度为768，DH组2的有效密钥长度为1 024， DH组 5 的有效密钥长度为1 536 密）
R2(config)#crypto isakmp key tedu address 100.0.0.1 //设置加密协议 isakmp 密钥为tedu指定地址为100.0.0.1

配置ACL

R2(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255 //设置acl 100 允许10.10.33.0网段访问网段172.16.100.0

配置ipsec策略（转换集）

R2(config)#crypto ipsec transform-set yf-set ah-sha-hmac esp-des//设置加密ipsec策略转换集名称为yf-set支持ah-sha-hmac

配置加密映射集

R2(config)#crypto map yf-map 1 ipsec-isakmp //设置映射集 yf-map 1 协议为  ipsec-isakmp
R2(config-crypto-map)#set peer 100.0.0.1 //配置要建立领居的外网地址
R2(config-crypto-map)#set transform-set yf-set //添加ipsec策略转换集yf-set
R2(config-crypto-map)#match address 100 //匹配ACL 100

将映射集应用在接口

R2(config)#interface f0/0 //进入端口
R2(config-if)#crypto map yf-map //在外网口调用映射集

验证与测试：

1. 其他客户端可以访问外网 2. 地址转换 首先在R1上开启debug ip nat R1：然后在R2上开启debug ip packet R2： 3. 研发小组可以访问总公司开发数据服务器，但不能访问internet A．可以ping通

B．可以访问HTTP服务

C．不可以访问Internet

D．用命令查看×××通道的连接状态 R1: R3:

上一篇：带你认识IPSec VPN

下一篇：Linux 系列之Yum管理应用软件

提问和评论都可以，用心的回复会被更多人看到评论

发布评论

相关文章

官方博客	全部文章	热门标签	班级博客
了解我们	网站地图	意见反馈

鸿蒙开发者社区	51CTO学堂
51CTO	软考资讯