溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

采用動態(tài)加密映射的路由器IPSec V.P.N R1為總部,R2為運營商

發(fā)布時間:2020-07-19 06:59:10 來源:網(wǎng)絡(luò) 閱讀:317 作者:wjq19781124 欄目:安全技術(shù)

采用動態(tài)加密映射的路由器IPSec V.P.N(基于思科)

采用動態(tài)加密映射的路由器IPSec V.P.N R1為總部,R2為運營商

R1為總部,R2為運營商,R3為分支機構(gòu)

此案例中R1使用動態(tài)映射,R3使用靜態(tài)映射,R3的f0/0使用dhcp獲得動態(tài)IP地址,因此總部的管理員是不知道分支機構(gòu)的IP地址的,此時就沒有辦法在靜態(tài)加密映射中指定對方的IP地址和Crypto ACL。這就要用到動態(tài)加密映射,在靜態(tài)加密映射中所需的參數(shù)將在動態(tài)加密映射中動態(tài)的填充,這是需要在分部的路由器上配置靜態(tài)的加密映射,讓分部發(fā)起協(xié)商。但是動態(tài)加密映射是無法應(yīng)用到接口上的。所以還要創(chuàng)建靜態(tài)的加密映射并引用動態(tài)加密映射,再把這個靜態(tài)加密映射應(yīng)用的接口上。

一:基本設(shè)置

R1的基本配置

R1#conf t
R1(config)#int f0/0
R1(config-if)#ip add 200.0.0.1 255.255.255.0
R1(config-if)#no shut
R1(config)#int f0/1
R1(config-if)#ip add 192.168.1.254 255.255.255.0
R1(config-if)#no shut

R2的基本配置

R2#conf t
R2(config)#int f0/0
R2(config-if)#ip add 200.0.0.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#int f0/1
R2(config-if)#ip add 100.0.0.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#exit

R2(config)#ip dhcp pool cisco
R2(dhcp-config)#network 193.1.1.0 255.255.255.0

R3的基本配置

R3#conf t
R3(config)#int f0/0
R3(config-if)#ip add dhcp
R3(config-if)#no shut
R3(config-if)#int f0/1
R3(config-if)#ip add 192.168.2.254 255.255.255.0
R3(config-if)#no shut
R3(config-if)#exit
R3#show ip int br

二:路由的設(shè)置

R1的路由
R1(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2

R3的路由
R3(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2

三:×××的設(shè)置

R1的×××

R1(config)#crypto isakmp enable
R1(config)#crypto isakmp identity address
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#encryption aes 128
R1(config-isakmp)#hash md5
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 2
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 6 cisco123 address 0.0.0.0 0.0.0.0 no-xauth

R1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
R1(config)#crypto ipsec transform-set cisco-set esp-aes esp-md5-hmac
R1(cfg-crypto-trans)#exit
R1(config)#crypto dynamic-map cisco-dymap 10
R1(config-crypto-map)#set transform-set cisco-set
R1(config-crypto-map)#match address 101
R1(config-crypto-map)#exit
R1(config)#crypto map cisco-stmap 65000 ipsec-isakmp dynamic cisco-dymap discover

R1(config)#access-list 102 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 any
R1(config)#ip nat inside source list 102 interface f0/0 overload
R1(config)#int f0/0
R1(config-if)#ip nat outside
R1(config-if)#crypto map cisco-stmap
R1(config-if)#int f0/1
R1(config-if)#ip nat inside
R1(config-if)#

R3的×××

R3#conf t
R3(config)#crypto isakmp enable
R3(config)#crypto isakmp identity address
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#encryption aes 128
R3(config-isakmp)#hash md5
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#group 2
R3(config-isakmp)#exit
R3(config)#crypto isakmp key 6 cisco123 address 200.0.0.1 no-xauth

R3(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
R3(config)#crypto ipsec transform-set cisco-set esp-aes esp-md5-hmac
R3(cfg-crypto-trans)#exit
R3(config)#crypto map cisco-map 10 ipsec-isakmp
R3(config-crypto-map)#set peer 200.0.0.1
R3(config-crypto-map)#set transform-set cisco-set
R3(config-crypto-map)#match address 101
R3(config-crypto-map)#exit

R3(config)#access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
R3(config)#access-list 102 permit ip 192.168.2.0 0.0.0.255 any
R3(config)#ip nat inside source list 102 interface f0/0 overload
R3(config)#int f0/0
R3(config-if)#ip nat outside
R3(config-if)#crypto map cisco-map
R3(config-if)#int f0/1
R3(config-if)#ip nat inside

測試
要用pc2測到pc1的連通性,不能先用pc1去ping pc2,等測通后才能用pc1 ping通pc2
本案例并沒有配置R2的路由,也沒有配置R1和R3的NAT,因此pc1和pc3都不能和R2(運營商)通信

向AI問一下細節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI