L2L 虚拟专用网络-实验
//R1配置
R1(config)#int f0/1
R1(config-if)#ip add 192.168.12.1 255.255.255.0
R1(config-if)#no sh
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2
//R2配置
R2(config)#int f0/0
R2(config-if)#ip add 192.168.12.2 255.255.255.0
R2(config-if)#no sh
R2(config-if)#int f0/1
R2(config-if)#ip add 100.1.23.2 255.255.255.0
R2(config-if)#no sh
R2(config)#ip route 0.0.0.0 0.0.0.0 100.1.23.3
R2(config)#ip access-list extended NAT //启用NAT技术
R2(config-ext-nacl)#permit ip 192.168.12.0 0.0.0.255 any //允许哪些通过
R2(config-ext-nacl)#5 deny ip 192.168.12.0 0.0.0.255 192.168.45.0 0.0.0.255 //禁止哪些通过
R2(config-ext-nacl)#exit
R2(config)#int f0/0
R2(config-if)#ip nat inside
R2(config-if)#int f0/1
R2(config-if)#ip nat outside
R2(config)#ip nat inside source list NAT interface f0/1 overload //端口复用
//--------------------R4 VPN 配置--------------------------------
//定义第一阶段策略集--->
R2(config)#crypto isakmp policy 1 //加密isakmp策略1
R2(config-isakmp)#encryption 3des //加密 3des
R2(config-isakmp)#authentication pre-share //身份验证 pre-share
R2(config-isakmp)#hash sha //验证算法为哈希sha
R4(config-isakmp)#group 2 //加入group2 组
//定义预共享密钥--->
R2(config)#crypto isakmp key 0 cisco address 100.1.34.4 //加密isakmp 密匙0 cisco(加密密码)地址为100.1.23.2(对端)
//定义第二阶段转换集---->
R2(config)#crypto ipsec transform-set l2ltrans esp-3des esp-sha-hmac //密码ipsec转换集为 l2lrans(自定义名字)
//定义感兴趣流---->
R2(config)#ip access-list extended l2lacl //访问控制列表 l2lacl(自定义名字)
R2(config-ext-nacl)#permit ip 192.168.12.0 0.0.0.255 192.168.45.0 0.0.0.255 //(允许两边内网地址通过)
//定义映射图---->
R2(config)#crypto map l2lmap 1 ipsec-isakmp //密码映射 l2lmap对等与 下应用于接口
R2(config-crypto-map)#match address l2lacl //匹配地址 l2lacl对等与感兴趣流
R2(config-crypto-map)#set transform-set l2ltrans //设置 l2ltrans 对等与转换集
R2(config-crypto-map)#set peer 100.1.34.4 //设置对等 地址就是对面的
//应用于接口------>
R2(config)#int f0/1 //应用接口
R2(config-if)#crypto map l2lmap //加密地图将l2lmap应用接口
//R3配置
R3(config)#int f0/0
R3(config-if)#ip add 100.1.23.3 255.255.255.0
R3(config-if)#no sh
R3(config-if)#int f0/1
R3(config-if)#ip add 100.1.34.3 255.255.255.0
R3(config-if)#no sh
R3(config)#int l0
R3(config-if)#ip add 3.3.3.3 255.255.255.255
//R4配置
R4(config)#int f0/0
R4(config-if)#ip add 100.1.34.4 255.255.255.0
R4(config-if)#no sh
R4(config-if)#int f0/1
R4(config-if)#ip add 192.168.45.4 255.255.255.0
R4(config-if)#no sh
R4(config)#ip route 0.0.0.0 0.0.0.0 100.1.34.3
R4(config)#ip access-list extended NAT
R4(config-ext-nacl)#permit ip 192.168.45.0 0.0.0.255 any
R4(config)#int f0/1
R4(config-if)#ip nat inside
R4(config)#int f0/0
R4(config-if)#ip nat outside
R4(config)#ip nat inside source list NAT interface f0/0 overload
//--------------------R4 VPN 配置--------------------------------
//-----------------定义第一阶段策略集------------------------>
R2(config)#crypto isakmp policy 1 //加密isakmp策略1
R2(config-isakmp)#encryption 3des //加密 3des
R2(config-isakmp)#authentication pre-share //身份验证 pre-share
R2(config-isakmp)#hash sha //验证算法为哈希sha
R4(config-isakmp)#group 2 //加入group2 组
//定义预共享密钥--->
R2(config)#crypto isakmp key 0 cisco address 100.1.23.2 //加密isakmp 密匙0 cisco(加密密码) 地址为100.1.23.2(对端)
//--------------------定义第二阶段转换集----------------------------------------->
R2(config)#crypto ipsec transform-set l2ltrans esp-3des esp-sha-hmac //密码ipsec转换集为 l2lrans(自定义名字)
//定义感兴趣流---->
R2(config)#ip access-list extended l2lacl //访问控制列表 l2lacl(自定义名字)
R2(config-ext-nacl)#permit ip 192.168.12.0 0.0.0.255 192.168.45.0 0.0.0.255 //(允许两边内网地址通过)
//定义映射图---->
R2(config)#crypto map l2lmap 1 ipsec-isakmp //密码映射 l2lmap对等与 下应用于接口
R2(config-crypto-map)#match address l2lacl //匹配地址 l2lacl对等与感兴趣流
R2(config-crypto-map)#set transform-set l2ltrans //设置 l2ltrans 对等与转换集
R2(config-crypto-map)#set peer 100.1.23.2 //设置对等 地址就是对面的
//应用于接口------>
R2(config)#int f0/0 //应用接口
R2(config-if)#crypto map l2lmap //加密地图将l2lmap应用接口
//R5配置
R5(config)#int f0/0
R5(config-if)#ip add 192.168.45.5 255.255.255.0
R5(config-if)#no sh
R5(config)#ip route 0.0.0.0 0.0.0.0 192.168.45.4
//--------------查询的命令-----------故障排除---------------
show crypto isakmp sa //查看第一阶段状态
show crypto ipsec sa //查看第二阶段状态
clear crypto session // 断开会话连接
show crypto session //查看会话状态
show crypto isakmp policy //查看策略模板
show crypto isakmp key //查看preshared-key
show run | s cry //查看crypto配置
debug crypto ipsec //调试ipsec 第二阶段
debug crypto isakmp //调试isakmp 第一阶段
show run | s crypto
show ip access
L2L实验协商抓包https://download.csdn.net/download/fengzilin1973/12897046
L2L原实验 https://download.csdn.net/download/fengzilin1973/12897444 不想做的看原理的可以直接移步区域下载