简单的 VPN隧道加密 + Nat 配置
准备工作:
用路由器 2811
添加接口硬件
PC2(外网):
IP -> 114.114.114.254 网关->114.114.114.1
PC1(总部):
IP -> 10.1.1.1 网关->10.1.1.2
PC0(分部):
IP -> 10.2.2.1 网关->10.2.2.2
路由器R-A:
R-A(config)#interface FastEthernet0/0
R-A(config-if)#ip address 10.1.1.2 255.255.255.0
R-A(config)#inter f1/0
R-A(config-if)#ip add 114.114.114.1 255.0.0.0
R-A(config)#interface Serial 1/0
R-A(config-if)#ip add 192.168.11.1 255.255.255.0
R-A(config-if)#clock rate 64000
R-A(config-if)#no shutdown
配置加密隧道:
R-A(config)#crypto isakmp policy 1
R-A(isakmp-policy)#hash md5
R-A(isakmp-policy)#authentication pre-share
R-A(config)#crypto isakmp key 123456 address 192.168.11.2 //未加密的密码123456,对端地址192.168.11.2
//实物配置则是crypto isakmp key 7 123456 address 192.168.11.2
R-A(config)#crypto ipsec transform-set test ah-md5-hmac esp-des
// test 传输模式名称, ah-md5-hmac esp-des 传输模式中采用的验证和加密数参数
R-A(config)#access-list 101 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
R-A(config)#crypto map testmap 1 ipsec-isakmp
R-A(config-crypto-map)#set peer 192.168.11.2
R-A(config-crypto-map)#set transform-set test
R-A(config-crypto-map)#match address 101
R-A(config)#inter s 1/0
R-A(config-if)#crypto map testmap
动态路由:
R-A(config)#router ospf 100
R-A(config-router)#network 10.1.1.0 0.0.0.255 area 0
R-A(config-router)#network 10.2.2.0 0.0.0.255 area 0
R-A(config-router)#network 114.114.114.0 0.255.255.255 area 0
R-A(config-router)#network 192.168.11.0 0.0.0.255 area 0
路由器R-B:
R-B(config)#interface FastEthernet0/0
R-B(config-if)#ip address 10.2.2.2 255.255.255.0
R-B(config)#interface Serial 1/0
R-B(config-if)#ip add 192.168.11.2 255.255.255.0
R-B(config-if)#no shutdown
配置加密隧道:
R-B(config)#crypto isakmp policy 1
R-B(isakmp-policy)#hash md5
R-B(isakmp-policy)#authentication pre-share
R-B(config)#crypto isakmp key 123456 address 192.168.11.1 //未加密的密码123456,对端地址192.168.11.1
//实物路由器的配置是 crypto isakmp key 7 123456 address 192.168.11.1
R-B(config)#crypto ipsec transform-set test ah-md5-hmac esp-des
// test 传输模式名称, ah-md5-hmac esp-des 传输模式中采用的验证和加密数参数
R-B(config)#access-list 101 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
R-B(config)#crypto map testmap 1 ipsec-isakmp
R-B(config-crypto-map)#set peer 192.168.11.1
R-B(config-crypto-map)#set transform-set test
R-B(config-crypto-map)#match address 101
R-B(config)#inter s 1/0
R-B(config-if)#crypto map testmap
动态路由:
R-B(config)#router ospf 100
R-B(config-router)#network 10.1.1.0 0.0.0.255 area 0
R-B(config-router)#network 10.2.2.0 0.0.0.255 area 0
R-B(config-router)#network 114.114.114.0 0.255.255.255 area 0
R-B(config-router)#network 192.168.11.0 0.0.0.255 area 0
在R-A配置Nat转换:
R-A(config)#access-list 1 permit 10.1.1.0 0.0.0.255
R-A(config)#ip nat pool peng 114.114.114.2 114.114.114.5 netmask 255.0.0.0
R-A(config)#ip nat inside source list 1 pool peng overload //peng是地址池的名称
R-A(config)#inter f0/0
R-A(config-if)#ip nat inside
R-A(config-if)#int f0/1
R-A(config-if)#ip nat outside
nat转换的效果图:(wireshark抓包)