资源预览内容
第1页 / 共5页
第2页 / 共5页
第3页 / 共5页
第4页 / 共5页
第5页 / 共5页
亲,该文档总共5页全部预览完了,如果喜欢就下载吧!
资源描述
CISCO IPsec NAT 穿越一案例拓扑二需求分析:如图,R2 是 BNET 公司上海总公司的路由器,R1 是 BNET 公司苏州分公司路由器,ISP1 是长宽的路由,ISP2 是电信路由器。R2 的外部地址是公网地址,R1 的外部地址是私网地址。在实际的工程中我们遇到这种问题太正常了,但恰好我们又需要在R1 和 R2 之间建立 IPSEC VPN。NAT 和 IPSEC 是互相冲突的,因为 IPSEC 保护私网地址和传输层内容,而 NAT 需要改这些。在 CISCO 设备中,我们只需要一条命令就可以解决这样的问题。R(config)#crypto isakmp nat keeplive 60 它自动检测是否经过 NAT 设备,如果发现时 NAT 设备,则用 UDP 封装。三配置参数1. R1 的配置hostname R1crypto isakmp policy 1 /配置 IKE 策略,同普通 IPSEC VPNhash md5authentication pre-sharelifetime 60crypto isakmp key cisco address 201.1.1.2crypto isakmp nat keepalive 60 /与普通 IPSEC 不同之处,在此启用 IPSEC NAT 穿越,并且保持活跃的时间是 60 秒! crypto ipsec transform-set tran1 esp-des esp-sha-hmac !crypto map map1 1 ipsec-isakmp set peer 201.1.1.2set transform-set tran1 match address 101!interface Serial0/0ip address 10.1.1.2 255.255.255.0serial restart-delay 0crypto map map1 /接口绑定 IPSEC 策略!interface Serial0/1no ip addressshutdownserial restart-delay 0!interface Serial0/2no ip addressshutdown serial restart-delay 0!interface Serial0/3no ip addressshutdownserial restart-delay 0!interface FastEthernet1/0ip address 192.168.1.1 255.255.255.0duplex autospeed auto!ip http serverno ip http secure-server!ip route 0.0.0.0 0.0.0.0 10.1.1.1!access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 /配置 IPSEC 保护流2. ISP1 的配置ISP1#show runISP1#show running-config hostname ISP1interface Serial0/0ip address 10.1.1.1 255.255.255.0 /这个地址不是私网地址ip nat inside /NAT 的内部接口ip virtual-reassemblyserial restart-delay 0!interface Serial0/1 /公网地址ip address 200.1.1.1 255.255.255.252 ip nat outside /NAT 的外部接口ip virtual-reassemblyserial restart-delay 0clock rate 64000!ip route 201.1.1.0 255.255.255.252 200.1.1.2 /到 201.1.1.0 的路由,保证公网全网互通,真实化境中,我们应该跑路由协议的,并且 ISP2 是公网的边缘路由器,也可以使用默认路由!ip nat inside source list 1 interface Serial0/1 overload /网络地址转换PAT!access-list 1 permit 10.1.1.0 0.0.0.255 /允许访问外部的内网地址3. ISP2 的配置(没用的我给删掉了)Router#show running-config version 12.4hostname Router!no logging consoleinterface Serial0/0ip address 200.1.1.2 255.255.255.252serial restart-delay 0! interface Serial0/1ip address 201.1.1.1 255.255.255.252serial restart-delay 0!end小结:ISP2 上有该公网区域全部路由,它什么也不用设置4. R2 配置R2#show running-config version 12.4!hostname R2!crypto isakmp policy 1 /IKE 策略hash md5authentication pre-sharelifetime 60crypto isakmp key cisco address 200.1.1.1 /注意:这里的对端地址,指向 ISP 的公公网地址crypto isakmp nat keepalive 60 / 启用 NAT 穿越,每 60 秒协商一次! !crypto ipsec transform-set tran1 esp-des esp-sha-hmac !crypto map map1 1 ipsec-isakmp set peer 200.1.1.1 /注意:这里的对端地址,指向 ISP 的公公网地址,如果指向 R1 的外部地址 10.1.1.1,它是找不到 R1 的,因为公网上没有这样的地址set transform-set tran1 match address 101!interface Serial0/0ip address 201.1.1.2 255.255.255.252serial restart-delay 0clock rate 64000crypto map map1!interface FastEthernet1/0ip address 192.168.2.1 255.255.255.0duplex autospeed auto!ip route 0.0.0.0 0.0.0.0 201.1.1.1!access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 /IPSEC 保护流!小结:这和两个具有公网地址的路由器做 IPSEC 差不多,就是添加一条命令,不需要在 ISP 路由器上做操作,ISP 路由器也不会让你做操作5. 虚拟 PC 配置PC1 : 192.168.1.10 255.255.255.0 gateway 192.168.1.1PC2 : 192.168.2.10 255.255.255.0 gateway 192.168.2.16. 测试 PC1 ping PC2实验到此完成提示:这样只能保证两个局域网之间可以建立 IPSEC VPN,但是 192.168.1.0 和 192.168.2.0的数据时无法访问互联网的,如果解决呢?实验 IPSEC OVER GRE 或者 GRE OVER IPSEC,然后再本地局域网网路由器上(R1 或者 R2 上)做 NAT什么是 IPSEC OVER GRE ? 使用 GRE 隧道建立 VPN,然后使用 IPSEC 协议保护192.168.1.0 到 192.168.2.0 的数据流,最终是封装为 GRE 隧道。什么是 GRE OVER IPSEC 启用 GRE 隧道,在 R1 和 R2 之间建立隧道连接,然后在 R1 和 R2 的 S0/0 接口绑定 IPSEC策略,保护 200.1.1.2 到 201.1.1.2 的数据流,最终是 IPSEC 流,GRE 被封装到 IPSEC 里,所以称作 GRE OVER IPSEC
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号