Cisco配置IPsec与NAT问题

已于 2022-11-11 00:22:05 修改
阅读量1.2k 收藏 11
点赞数 1
文章标签: 网络 p2p
于 2022-11-11 00:17:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51871685/article/details/127798611
版权

实验拓扑

 实验要求

1.实现pc4能够通过R3和R1建立的IPsec通道与1.0网段通信,但pc4不能与公网(R2)通信

2.实现pc3能够与公网(R2)进行通信,但不能通过R3与R1建立的IPsec通道与1.0网段通信

 

  配置IPsec 可参考如下文章Cisco路由器IPSec 虚拟专用网原理与详细配置_51CTO博客_思科路由器配置ipsec

 

关键代码

Router(config)#access-list 111 deny ip host 192.168.2.3 192.168.1.0 0.0.0.255
Router(config)#access-list 111 permit ip host 192.168.2.2 any
Router(config)#ip nat inside source list 111 int fa0/0
Router(config)#int fa0/0
Router(config-if)#ip nat outside
Router(config-if)#int fa0/1
Router(config-if)#ip nat inside
Router(config-if)#exit

代码解析

NAT与IPsec同时存在时,路由器默认会先匹配NAT流量,然后再进行对IPsec流量的匹配。

第一行代码就是阻止路由器R3的NAT匹配2.0网段通过Psec通往1.0网段的流量,按照题目要求,只阻止指定主机(也就是2.3主机)通往1.0网段的流量(未被阻止的流量就会被NAT匹配,NAT在公网中找不到通往1.0的网段,从而丢弃,轮到 Ipsec匹配时,被NAT匹配过的流量不会重新匹配,从而无法与1.0网段通过ipsec进行通信),第二行代码是允许该网段的指定主机(2.2主机)进行NAT匹配,进而进行对公网的访问。

心得

困惑了我一天的问题终于得以解决,哈哈哈哈哈哈隔,虽说是个很小的知识点,诶,不说了,看书去了

不见的风~
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
IPSec---NAT穿越实验配置
m0_49864110的博客
05-23 1308
目录 FW1-FW2基础配置 FW1-FW2配置安全策略—只可以由FW2为主动端建立IPSec隧道 FW1-FW2配置IPSec NAT设备FW4的配置 安全策略 配置NAT策略 NAT 穿越 相关配置 ESP NAT 黑色是FW1和FW2相同的配置 绿色是FW1的配置 蓝色是FW2的配置 FW4的配置单独拿出来配置 FW1-FW2基础配置 按照图上要求配置好接口地址和安全区域,并配置相关路由 FW1-FW2配置安全策略—只可以由FW2为主动端建立IP.........
四、IPSec NAT穿越
u012451051的博客
11-08 1471
1、消息1和2:在IKE消息中插入两个N载荷,第一个N载荷包含本端的IP地址和端口的Hash值,第二个N载荷包含IKE对等体的IP地址和端口的Hash值,响应方也计算这两个Hash值,两方计算的哪个Hash值不相等,表明哪个设备在NAT网关后面。NAT网关发现:通过NAT-D载荷来实现的,在IKE peer之间发现NAT网关的存在以及确定NAT设备在Peer的哪一侧,NAT侧的Peer作为发起者,定期发送NAT-Keepalive报文,使NAT网关确保安全隧道处于激活状态。
思科防火墙查如何查看现有ipsec隧道信息
玩人工智能的辣条哥的博客
05-03 494
思科ASA5555。
IPSec NAT穿越原理
Mario_Ti的博客
03-10 1897
文章主要从IPSec VPN在NAT场景中存在的问题,引出IPSec NAT穿越这一原理并配置
思科防火墙建立IPSEC VPN以及NAT穿越问题(大学生易读版)
qq_74338624的博客
12-28 1102
具体思路如上,在可视化界面上也要按照如此顺序依次配置
IPSec NAT穿越原理_ipsec配置为什么要配置nat,2024年最新怎么入门网络安全
2401_84166458的博客
04-09 852
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
思科防火墙IPsec配置-野蛮模式方式(基于9.9版本)
xiayu0912的专栏
02-21 1276
思科防火墙ASA配置野蛮模式建立IPse连接
思科防火墙IPsec配置--野蛮模式(基于8.0版本)
xiayu0912的专栏
01-25 1632
动态crypto maps只设置在野蛮模式的接收端,和静态crypto maps一样,也是把一些分散的信息集中起来形成一个完整的ipsec连接信息,里面的匹配规则也和静态crypto maps一样从低到高匹配,配置方式也和静态crypto maps一样。配置cryto map。cryto map是一个列表,该列表记录那些数据包需要建立IPsec, 将前面配置的一些分散的信息绑定到一起形成一个ipsec连接的完整信息,这个列表有序号,序号可以随意填,匹配IPSEC参数的时候按照序号从低到高的顺序进行匹配。
华为ipsec 野蛮模式 配置nat穿越
_Dong的博客
03-26 3723
实验拓扑: R2 模拟运营商设备,将AR1所有数据进行nat 相关配置 AR2: sysname r2 acl number 2000 rule 5 permit interface GigabitEthernet0/0/0 ip address 23.0.0.2 255.255.255.0 nat outbound 2000 # interface GigabitEthernet0/0/1 ip address 12.0.0.2 255.255.255.0 AR1: sysnam
IPsecNAT 的冲突问题详解
热门推荐
yeasy的专栏
03-25 1万+
背景 IPsec 协议可以用来在 IP 层提供校验和加密等安全特性。基于 IPsec 的 VPN 已经成为 site-site 模式下高可靠连通方案的首选。 NAT 最初是为了解决地址不足的问题,它将 NAT 网关后的实际地址隐藏起来,对外呈现一个外部地址,通常包括基于地址的映射(设备负责将内外地址进行对应和替换)和基于端口(通常外部为同一地址,根据到达端口的不同替换为内部不同的地址和
IPsec nat穿越技术
12-06
通过IKE协议的调整与UDP封装策略,解决了NAT环境下的IPSec通信难题,使得多主机间能够在复杂网络结构中建立起稳定、安全的数据传输通道。这一技术的应用,不仅提升了网络安全性,也为企业级网络通信提供了更加灵活和...
CISCO路由器配置手册(CHM)
05-14
**Cisco路由器配置手册** 在IT领域,Cisco路由器网络设备中的关键组件,广泛应用于企业级网络、数据中心和互联网骨干网。这份《Cisco路由器配置手册》是网络管理员和IT专业人士的重要参考资料,它涵盖了从基础...
思科所有命令,思科所有命令
10-10
在第十二章中,涵盖了从sa ipsec到show dxi pvc interface的命令,包括如何配置IPSec、如何设置加密、如何使用命令来管理网络等。 在第十三章中,涵盖了从show eap registrations到show mvr source ports的命令,...
Cisco 思科 1921 路由器 IOS c1900-universalk9-mz.SPA.157-3.M7.rar
11-14
5. **配置与管理**:使用Cisco IOS,管理员可以通过CLI、图形用户界面(如Cisco SDM或ISE)、或者网络管理系统(如Cisco Prime)来配置和管理路由器。此外,Cisco还提供了各种工具,如`show`和`debug`命令,用于诊断...
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 286
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
S5730举例
最新发布
jjjxxxhhh123的博客
07-27 653
例子: 假设在校园网络中,某些交换机之间存在多个连接(可能是多个光纤),如果没有STP,这些多个连接可能导致数据包在网络中无限制地传输,形成网络风暴,导致整个网络瘫痪。PIM-SM通过仅在需要时在网络中传输组播数据包,减少网络带宽的占用,提高数据传输效率。[sysname-GigabitEthernet0/0/1] ospf cost 10 // 设置接口的OSPF成本,影响路径选择。综上所述,这些网络技术和配置在大学校园网络中起到关键作用,确保网络运行高效、安全和可靠,同时满足用户的多样化需求。
使用WebSocket协议调用群发方法将消息返回客户端页面
2302_79840586的博客
07-27 922
使用WebSocket协议调用群发方法将消息返回客户端页面
思科 ipsec配置
10-15
好的,关于思科设备的IPSec配置,以下是一个简单的示例: 1. 配置ISAKMP策略 crypto isakmp policy 10 encr aes authentication pre-share group 2 lifetime 3600 2. 配置预共享密钥 crypto isakmp key ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值