大型集团VOIP实验
应用到的技术:VOIP ××× DHCP
拓扑图解释与试验内容解释:
拓扑图大体分为三部分,左边区域是总公司网络,中间是模拟从Internet网络(WIFI,3G等)中通过×××技术接入到总部,右边是分公司网络。在总公司与分公司中,各用了一台路由器做CallManger服务器,给子为本网络中的语音设备提供电话注册服务、分配电话号码以及电话路由。中间的Internet网络,模拟的是在公司外部,外出、移动办公时,需要与总公司或分公司打电话,通过无线技术(3G,WIFI)或有线Internet网络(这里只模拟了无线网络),通过××× 连接到总公司。注册到总公司的CallManger服务器。然后拨打总公司与分公司的电话。(为了模拟×××接入。使用了外部×××路由进行×××连接,实际应用中是设备进行×××连接的)。这台路由器采用了DHCP中继,将PDA和笔记本的DHCP广播请求转换成IP单播来触发×××,到总公司的Callmanger服务器上获取IP地址、TFTP服务器IP地址,以及电话注册、电话号分配。
一、设备连接规划表:
源设备名称 | 接口 | 接口IP | 接口IP | 接口 | 目的设备名称 |
外网路由 | F0/0 | 61.148.91.173 | 61.148.91.174 | F0/0 | 总公司路由 |
外网路由 | F0/1 | 1.202.136.162 | 1.202.136.163 | F0/0 | 分公司路由 |
外网路由 | F1/0 | 61.148.16.103 | 61.148.16.102 | F0/0 | 外部×××路由 |
总部路由 | F0/1 | 192.168.1.254 |
| F0/24 | 总公司交换机 |
总公司CallManger | F0/0 | 192.168.1.253 |
| F0/23 | 总公司交换机 |
总公司交换机 | F0/1 |
| DHCP |
| 总公司PC |
总公司交换机 | F0/2 |
| DHCP |
| 总公司IP电话 |
总公司交换机 | F0/3 |
| DHCP |
| 总公司VOIP转换 |
分公司路由 | F0/1 | 10.21.0.254 |
| F0/24 | 分公司交换机 |
分公司CallManger | F0/0 | 10.21.0.253 |
| F0/23 | 分公司交换机 |
分公司交换机 | F0/1 |
| DHCP |
| 分公司PC |
分公司交换机 | F0/2 |
| DHCP |
| 分公司IP电话 |
分公司交换机 | F0/3 |
| DHCP |
| 分公司VOIP转换 |
公司×××路由 | F0/1 | 10.1.1.254 |
|
| 移动办公无线发射 |
|
|
|
|
|
|
|
|
|
|
|
|
二、×××
×××连入地址池 192.168.88.10~192.168.88.200
本实验最值得注意的就是×××配置,要分析清楚感兴趣流量,如果稍配置不当,×××就不能成功。我的思路总公司做了条×××策略,提供分部和外出移动办公的×××接入。总部与分部的流量分析很好理解,重点是分析配置外出移动办公的流量策略。
现在只是刚想好思路,做好了。会把详细步骤与详细注释。发上来的。
配置资料:
一、总公司与分公司×××连接部分
×××
总公司路由配置
1.启用IKE协商
ZGSRoute(config)#crypto isakmp policy 10
建立IKE协商策略(1是策略编号1-1000,号 越小,优先级越高)
ZGSRoute(config-isakmp)#hash md5
密钥认证的算法
ZGSRoute(config-isakmp)#authentication pre-share
告诉路由使用预先共享的密钥
ZGSRoute(config-isakmp)#exit
ZGSRoute(config)#crypto isakmp key 666666 address 1.202.136.163
(666666是设置的共享密钥,1.202.136.163是对端的IP地址)。
2.配置IPSec参数
ZGSRoute(config)#crypto ipsec transform-set voip ah-md5-hmac esp-des
(voip传输模式的名称。ah-md5-hamc esp-des表示传输模式中采用的验证和加
ZGSRoute(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 10.21.0.0 0.0.0.255
(定义哪些地址的报文加密或是不加密)
3.设置crypto map (目的把IKE的协商信息和IPSec的参数,整合到一起,起一个名字)
ZGSRoute(config)#crypto map voipmap 1 ipsec-isakmp
(voipmap:给crypto map起的名字。1:优先级。ipsec-isakmp:表示此IPSec链接采用IKE自动协商)
ZGSRoute(config-crypto-map)#set peer 1.202.136.163
(指定此×××链路,对端的IP地址)。
ZGSRoute(config-crypto-map)#set transform-set voip
(参数填写IPSec传输模式的名字)
ZGSRoute(config-crypto-map)#match address 101
(上面定义的ACL列表号)
ZGSRoute(config-crypto-map)#exit
4.把crypto map 的名字应用到端口
ZGSRoute(config)#interface fastEthernet 0/0
进入实用×××的接口
ZGSRoute(config-if)#crypto map voipmap
(voipmap:crypto map的名字)
分公司路由配置
FGSRoute(config)#crypto isakmp policy 10
FGSRoute(config-isakmp)#hash md5
FGSRoute(config-isakmp)#authentication pre-share
FGSRoute(config-isakmp)#exit
FGSRoute(config)#crypto isakmp key 666666 address 61.148.91.174
FGSRoute(config)#crypto ipsec transform-set voip ah-md5-hmac esp-des
FGSRoute(config)#access-list 101 permit ip 10.21.0.0 0.0.0.255 192.168.1.0 0.0.0.255
FGSRoute(config)#crypto map voipmap 1 ipsec-isakmp
FGSRoute(config-crypto-map)#set peer 61.148.91.174
FGSRoute(config-crypto-map)#set transform-set voip
FGSRoute(config-crypto-map)#match address 101
FGSRoute(config-crypto-map)#exit
FGSRoute(config)#interface fastEthernet 0/0
FGSRoute(config-if)#crypto map voipmap
转载于:https://blog.51cto.com/xiaoqu/503273