真实的模拟×××综合实验

做的一个关于×××的综合实验！其基本构想是这样的，最真实的模拟了ISP的DNS服务器， Web服务器（简单的讲这个直接挂在Internet网的Web服务器，就是我们常说的服务器在电信啊，网通啊等ISP托管的，日常维护这些服务器都是远程登入上去的！）。用了一个AP来模拟移动无线网（你可以想象成我们常用的无线上网，如：GPRS，无线城域网，3G等。简单点讲就是通过各种无线技术能上Internet网）。至于Internet网的模拟嘛，还是我常说的没有私有IP路由表的路由器。先让大家看看我的实验拓扑：

 

实验的基本想法，配置思路和测试方法如下：（在附件中有本实验的PKT文件下载，大家可以按本文实验。至于IPSEC ×××讲解和远程的Easy ×××我就不讲解了！大家见我的博客《PacketTracer　5.2的IPsec ×××实验说明(附PacketTracer　5.2下载地址)》和《Cisco PacketTracer　5.2模拟器的Easy ×××实验指南》）。

实验的IP规划如下：

PC0 PC1 :DHCP获取

笔记本：laptop0和wuxian：DHCP获取

内部服务器：Web 192.168.1.253/24   TFTP 192.168.1.252/24

ISP服务器：ISP　DNS 202.103.96.112/24   ISP Web 202.103.96.120/24

总部 fa0/0:192.168.1.254/24 fa0/1:100.1.1.2/24

Internet网：fa0/1 :100.1.1.1/24   fa 0/0:200.1.1.1/24

             E1/0:210.1.1.1/24(移动笔记本wuxian所获得公网地址段)

             E1/1:202.103.96.1/24（ISP DNS和ISP Web服务器的网关）

分部：f0/0:200.1.1.2/24 fa 0/1:192.168.2.254/24

关于PacketTracer5.2中的服务器DNS和Web的配置以及PC和笔记本的配置和测试。如图说明：

双击服务器的图标，选择Desktop，在选择IP configuration设置IP地址：

DNS的配置：（我为ISP的Web服务器和总部的Web服务器做的DNS映射）

选择如图一的config，在选择DNS，name是域名，address是IP地址，做好就add添加。

Web服务器的配置，就点HTTP，自己可以修改Html。这我就不讲了，记得服务On。

 

 

本次试验用到了，IP configuration、Web Brower，×××，command Prompt。

IP configuration是IP的配置：可以DHCP也可静态。

Web Brower是浏览器。×××是Easy ×××客户端。

command Prompt就是CMD，用Ping的测试等。

 

实验基本连通性：

Internet网配置：

enable

configure terminal

hostname Internet

line console 0

logg sy

exec-time 0 0

exit

no ip domain-lookup

interface fastethernet 0/1

ip add 100.1.1.1 255.255.255.0

no shut

exit

interface fastethernet 0/0

ip add 200.1.1.1 255.255.255.0

no shut

exit

interface ethernet 1/1

ip add 202.103.96.1 255.255.255.0

no shut

exit

interface ethernet 1/0

ip add 210.1.1.1 255.255.255.0

no shut

exit

ip dhcp excluded-address 210.1.1.1

ip dhcp pool wifi

 network 210.1.1.0 255.255.255.0

 default-router 210.1.1.1

 dns-server 202.103.96.112

 exit

 

总部配置：

enable

configure terminal

hostname Internet

line console 0

logg sy

exec-time 0 0

exit

no ip domain-lookup

interface fastethernet 0/1

ip add 100.1.1.2 255.255.255.0

no shut

ip nat outside

exit

interface fastethernet 0/0

ip add 192.168.1.254 255.255.255.0

no shut

ip nat inside

exit

ip route 0.0.0.0 0.0.0.0 100.1.1.1

ip dhcp excluded-address 192.168.1.254

ip dhcp pool zongbu

 network 192.168.1.0 255.255.255.0

 default-router 192.168.1.254

 dns-server 202.103.96.112

 exit

access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

access-list 100 permit ip 192.168.1.0 0.0.0.255 any

ip nat inside source list 100 interface FastEthernet0/1 overload

ip nat inside source static tcp 192.168.1.253 80 100.1.1.2 80

 

分部配置：

enable

configure terminal

hostname fenbu

line console 0

logg sy

exec-time 0 0

exit

no ip domain-lookup

interface fastethernet 0/0

ip add 200.1.1.2 255.255.255.0

no shut

ip nat outside

exit

interface fastethernet 0/1

ip add 192.168.2.254 255.255.255.0

no shut

ip nat inside

exit

ip route 0.0.0.0 0.0.0.0 200.1.1.1

ip dhcp excluded-address 192.168.2.254

ip dhcp pool zongbu

 network 192.168.2.0 255.255.255.0

 default-router 192.168.2.254

 dns-server 202.103.96.112

 exit

access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

access-list 100 permit ip 192.168.2.0 0.0.0.255 any

ip nat inside source list 100 interface FastEthernet0/0 overload

 

当基本连通性结果后，在浏览器中访问：www.xiaoT.com和www.tom.com结果如下图：

但由于×××没有做，外网和分部的PC是Ping不通内部的PC和服务器的。

现在进行×××配置：

总部：

crypto isakmp policy 10

encr 3des

hash md5

authentication pre-share

 

crypto isakmp key tom address 200.1.1.2

 

crypto ipsec transform-set tim esp-3des esp-md5-hmac

 

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

 

 

crypto map tom 11 ipsec-isakmp

set peer 200.1.1.2

set transform-set tim

match address 101

 

interface FastEthernet0/1

crypto map tom

 

aaa new-model

aaa authentication login eza local

aaa authorization network ezo local

username tang password 123

 

ip local pool ez 192.168.3.1 192.168.3.100

crypto isakmp client configuration group myez

 key 123

 pool ez

 

crypto dynamic-map ezmap 10

 set transform-set tim

 reverse-route

 

crypto map tom client authentication list eza

crypto map tom isakmp authorization list ezo

crypto map tom client configuration address respond

crypto map tom 10 ipsec-isakmp dynamic ezmap

（Easy ×××是IPSEC ×××的两个阶段之间的2.5阶段，固阶段一喝阶段二都可以条用一样的策略）

 

分部的配置：

crypto isakmp policy 10

encr 3des

hash md5

authentication pre-share

 

crypto isakmp key tom address 100.1.1.2

 

crypto ipsec transform-set tim esp-3des esp-md5-hmac

 

crypto map tom 10 ipsec-isakmp

set peer 100.1.1.2

set transform-set tim

match address 101

 

access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

 

interface FastEthernet0/0

crypto map tom

 

测试：

Ipsec ×××就是分部的ping总部的PC，来检测连通性，Easy ×××的连接测试在《Cisco PacketTracer　5.2模拟器的Easy ×××实验指南》中有说明。

当×××都连通后，就能ping通内部的TFTP服务器了！

 

最后给大家留个问题，本实验中，我已经解决了，Ipsec ×××的×××和NAT上网问题。但我无线笔记Easy ×××接入总部后，只能访问用IP来访问内部Web服务器，而访问不了Internet的Web服务器。这是为什么，应该如何解决。