「网安-实验」L2L 虚拟专用网络-实验-Cisco-模拟器GNS3

L2L 虚拟专用网络-实验

在这里插入图片描述

//R1配置
R1(config)#int f0/1
R1(config-if)#ip add 192.168.12.1 255.255.255.0
R1(config-if)#no sh

R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2
//R2配置
R2(config)#int f0/0
R2(config-if)#ip add 192.168.12.2 255.255.255.0
R2(config-if)#no sh

R2(config-if)#int f0/1
R2(config-if)#ip add 100.1.23.2 255.255.255.0
R2(config-if)#no sh

R2(config)#ip route 0.0.0.0 0.0.0.0 100.1.23.3

R2(config)#ip access-list extended NAT                            //启用NAT技术
R2(config-ext-nacl)#permit ip 192.168.12.0 0.0.0.255 any          //允许哪些通过
R2(config-ext-nacl)#5 deny ip 192.168.12.0 0.0.0.255 192.168.45.0 0.0.0.255 //禁止哪些通过
R2(config-ext-nacl)#exit

R2(config)#int f0/0
R2(config-if)#ip nat inside
R2(config-if)#int f0/1
R2(config-if)#ip nat outside 

R2(config)#ip nat inside source list NAT interface f0/1 overload      //端口复用
    
//--------------------R4 VPN 配置-------------------------------- 
//定义第一阶段策略集--->
R2(config)#crypto isakmp policy 1            //加密isakmp策略1
R2(config-isakmp)#encryption 3des            //加密 3des
R2(config-isakmp)#authentication pre-share   //身份验证  pre-share 
R2(config-isakmp)#hash sha                   //验证算法为哈希sha
R4(config-isakmp)#group 2                    //加入group2 组
    
//定义预共享密钥--->
R2(config)#crypto isakmp key 0 cisco address 100.1.34.4 //加密isakmp 密匙0 cisco(加密密码)地址为100.1.23.2(对端)

//定义第二阶段转换集---->
R2(config)#crypto ipsec transform-set l2ltrans esp-3des esp-sha-hmac  //密码ipsec转换集为 l2lrans(自定义名字) 

//定义感兴趣流---->
R2(config)#ip access-list extended l2lacl   //访问控制列表 l2lacl(自定义名字)
R2(config-ext-nacl)#permit ip 192.168.12.0 0.0.0.255 192.168.45.0 0.0.0.255 //(允许两边内网地址通过)

//定义映射图---->
R2(config)#crypto map l2lmap 1 ipsec-isakmp              //密码映射 l2lmap对等与 下应用于接口
R2(config-crypto-map)#match address l2lacl               //匹配地址 l2lacl对等与感兴趣流
R2(config-crypto-map)#set transform-set l2ltrans         //设置 l2ltrans 对等与转换集
R2(config-crypto-map)#set peer 100.1.34.4                //设置对等 地址就是对面的

//应用于接口------> 
R2(config)#int f0/1                                     //应用接口
R2(config-if)#crypto map l2lmap						  //加密地图将l2lmap应用接口		    
//R3配置
R3(config)#int f0/0
R3(config-if)#ip add 100.1.23.3 255.255.255.0
R3(config-if)#no sh

R3(config-if)#int f0/1
R3(config-if)#ip add 100.1.34.3 255.255.255.0
R3(config-if)#no sh

R3(config)#int l0  
R3(config-if)#ip add 3.3.3.3 255.255.255.255
//R4配置
R4(config)#int f0/0
R4(config-if)#ip add 100.1.34.4 255.255.255.0
R4(config-if)#no sh

R4(config-if)#int f0/1                         
R4(config-if)#ip add 192.168.45.4 255.255.255.0
R4(config-if)#no sh

R4(config)#ip route 0.0.0.0 0.0.0.0 100.1.34.3

R4(config)#ip access-list extended NAT
R4(config-ext-nacl)#permit ip 192.168.45.0 0.0.0.255 any 

R4(config)#int f0/1
R4(config-if)#ip nat inside 

R4(config)#int f0/0
R4(config-if)#ip nat outside 

R4(config)#ip nat inside source list NAT interface f0/0 overload 
    
//--------------------R4 VPN 配置-------------------------------- 
//-----------------定义第一阶段策略集------------------------>
R2(config)#crypto isakmp policy 1            //加密isakmp策略1
R2(config-isakmp)#encryption 3des            //加密 3des
R2(config-isakmp)#authentication pre-share   //身份验证  pre-share 
R2(config-isakmp)#hash sha                   //验证算法为哈希sha
R4(config-isakmp)#group 2                    //加入group2 组
    
//定义预共享密钥--->
R2(config)#crypto isakmp key 0 cisco address 100.1.23.2   //加密isakmp 密匙0 cisco(加密密码) 地址为100.1.23.2(对端)

//--------------------定义第二阶段转换集----------------------------------------->
R2(config)#crypto ipsec transform-set l2ltrans esp-3des esp-sha-hmac  //密码ipsec转换集为 l2lrans(自定义名字) 

//定义感兴趣流---->
R2(config)#ip access-list extended l2lacl   //访问控制列表 l2lacl(自定义名字)
R2(config-ext-nacl)#permit ip 192.168.12.0 0.0.0.255 192.168.45.0 0.0.0.255 //(允许两边内网地址通过)

//定义映射图---->
R2(config)#crypto map l2lmap 1 ipsec-isakmp              //密码映射 l2lmap对等与 下应用于接口
R2(config-crypto-map)#match address l2lacl               //匹配地址 l2lacl对等与感兴趣流
R2(config-crypto-map)#set transform-set l2ltrans         //设置 l2ltrans 对等与转换集
R2(config-crypto-map)#set peer 100.1.23.2                //设置对等 地址就是对面的

//应用于接口------>
R2(config)#int f0/0                                     //应用接口
R2(config-if)#crypto map l2lmap						  //加密地图将l2lmap应用接口		
//R5配置
R5(config)#int f0/0 
R5(config-if)#ip add 192.168.45.5 255.255.255.0
R5(config-if)#no sh

R5(config)#ip route 0.0.0.0 0.0.0.0 192.168.45.4
//--------------查询的命令-----------故障排除---------------
show crypto isakmp sa          //查看第一阶段状态
show crypto ipsec sa             //查看第二阶段状态
clear  crypto session              // 断开会话连接
show  crypto session             //查看会话状态
show crypto isakmp policy    //查看策略模板
show crypto isakmp key       //查看preshared-key
show run | s cry                    //查看crypto配置
debug crypto ipsec				//调试ipsec 第二阶段
debug crypto isakmp               //调试isakmp 第一阶段
show run | s crypto              
show ip access 

L2L实验协商抓包https://download.csdn.net/download/fengzilin1973/12897046
L2L原实验 https://download.csdn.net/download/fengzilin1973/12897444 不想做的看原理的可以直接移步区域下载

©️2020 CSDN 皮肤主题: 1024 设计师:上身试试 返回首页