思科路由器***配置-- 动态 site-to-site ***(上)

最新推荐文章于 2021-05-29 19:19:03 发布
最新推荐文章于 2021-05-29 19:19:03 发布
阅读量147 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33717117/article/details/85153533
版权

 前几次我们聊过了 SITE-TO-SITE ***拓扑如下

上述拓扑是因为公司只有一个分公司,所以可以创建*** 但是如果公司规模越来越大,分支机构数目越来越多,网络拓扑发生了变化 如下

 

 

 

在普通的 IPSec site-to-site ***中,需要为每一个peer定义一个密码,在定义 crypto map 时候也需要定义peer,以此来定义加密数据发往对端,随着***邻居的增加,这样重复的配置也会增加,最终导致总公司的网络设备变得难以管理不可维护 所以普通的 ipsec site-to-site ***在有多个分公司的情况下是不可取的

如果其中一个分公司的上网方式是ADSL那么每次得到的IP地址都不一样,那就没有办法指定 peer,s所以我们使用 动态 site-to-site ***来解决这个问题, 在总公司的网络设备上只要配置一个 dynamic map 以及一次认证密码,就可以和多个***邻居进行关联

dynamic site-to-site *** 能够接受任何地址的连接,分为 HUB 端和 SPOKE端  HUB端使用 dynamic map  SPOKE端的配置保持不变

注意事项:  

HUB端的IP地址必须为固定的  SPOKE端的IP地址可以是任意的。

 

开始配置首先将第二张图片上的网络拓扑做通,实现任意一个私网地址可以和任意一个公网地址进行通信,方法略

实验配置开始:

由于该实验思科PT模拟器不能做,所以通过GNS3模拟器将拓扑简化,进行实验

 

 

最终实现内网互通即可

 

配置IKE阶段

R2(config)#crypto isakmp policy 10

R2(config-isakmp)#encryption 3

R2(config-isakmp)#authentication p

R2(config-isakmp)#hash md5

R2(config-isakmp)#group 2

R2(config-isakmp)#exit

 

配置通配符认证方法

R2(config)#crypto keyring abc

R2(conf-keyring)#pre-shared-key add

R2(conf-keyring)#pre-shared-key address 0.0.0.0 0.0.0.0 key 0 cisco

R2(conf-keyring)#exit

R2(config)#crypto isakmp profile ppp

R2(conf-isa-prof)#keyring abc

R2(conf-isa-prof)#match identity address 0.0.0.0 0.0.0.0

R2(conf-isa-prof)#exit

配置了名为ppp的isakmp profile 并定义任何IP地址的密码为cisco

 

配置 IPsec transform

R2(config)#crypto ipsec transform-set test esp-3des  esp-md5-hmac
 
配置 dynamic MAP
R2(config)#crypto dynamic-map dymap 10
R2(config-crypto-map)#set transform-set test
R2(config-crypto-map)#set isakmp-profile ppp
R2(config-crypto-map)#exit
 
定义了名为 dymap 的动态map   调用名为test 的transform-set 和 名为 ppp 的isakmp-profile
 
创建 crypto nap
R2(config)#crypto map  mymap 10 ipsec-isakmp dynamic dymap
 
 
将配置应用到接口
 
R2(config)#int f1/0
R2(config-if)#crypto map mymap
R2(config-if)#
*Nov 15 23:17:58.623: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
 
绕过NAT
 
我们把NAT的ACL进行一下修改
R2#show ip access-lists nat
Extended IP access list nat
    10 deny ip host 2.2.2.2 host 3.3.3.3
    20 deny ip host 2.2.2.2 host 4.4.4.4
    30 permit ip host 2.2.2.2 any
 
HUB端配置成功
 
 
下面我们进行SPOKE端的配置
 
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#en 3
R3(config-isakmp)#au p
R3(config-isakmp)#hash md5
R3(config-isakmp)#group 2
R3(config-isakmp)#exit
 
R3(config)#crypto isakmp key cisco address 12.1.1.2
 
 
R3(config)#crypto ipsec transform-set test esp-3des esp-md5-hmac
R3(cfg-crypto-trans)#exit
 
定义感兴趣流量
R3(config)#ip access-list extended ***
R3(config-ext-nacl)#permit ip host 3.3.3.3 host 2.2.2.2
R3(config-ext-nacl)#exit
 
R3(config)#crypto map mymap 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
        and a valid access list have been configured.
R3(config-crypto-map)#set peer 12.1.1.2
R3(config-crypto-map)#set tran
R3(config-crypto-map)#set transform-set test
R3(config-crypto-map)#mat
R3(config-crypto-map)#match add
R3(config-crypto-map)#match address ***
R3(config-crypto-map)#exit
 
R3(config)#interface f1/0
R3(config-if)#cry
R3(config-if)#crypto map mymap
R3(config-if)#
*Nov 15 23:33:51.511: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
 
应用成功
 
修改SPOKE的NAT列表
 
R3#show ip access-lists
Extended IP access list nat
    20 deny ip host 3.3.3.3 host 2.2.2.2
    30 deny ip host 3.3.3.3 host 4.4.4.4
    40 permit ip host 3.3.3.3 any
Extended IP access list ***
    10 permit ip host 3.3.3.3 host 2.2.2.2
    20 permit ip host 3.3.3.3 host 4.4.4.4
对访问控制列表进行修改。
 
 
此时我们的R2和R3的内网之间就应该可以通信了
 
 
R3#ping ip 2.2.2.2 source 3.3.3.3
 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:
Packet sent with a source address of 3.3.3.3
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 204/256/308 ms
 
自此动态的 SITE-TO-SITE *** 我们就配置成功了
 
 
 
 
 
 
 
 
weixin_33717117
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Cisco Site-to-Site IPsec配置
游离态De猫
05-10 579
环境说明: CompanyA-Router为A公司的出口路由器,上联至ISP,e0/1做nat CompanyB-Router为B公司的出口路由器,上联至ISP,e0/0做nat 两边公司内网需要互通,该环境中使用Site-to-Site IPsec来实现 路由器版本: CompanyA-Router#show version Cisco IOS Software, Linux Software (I86BI_LINUX-ADVENTERPRISEK9-M), Version 15.4(1
思科路由器***配置--site-to-site *** (上)
weixin_34191734的博客
11-11 191
  公司总部和分部分别位于广东和香港,要求总部的部分子网可以和香港的部分子网进行直接通信,但是私网地址是不能够在公网上路由的,那么如何实现用户需求呢? 我们使用 site-to-sit *** 来解决这个问题 实验准备阶段: 实现私网地址可以和公网上的任何一个地址进行通信 比如总部地址 172.16.1.2 可以ping通 ISP的f0/0接口 环回接口1.1.1.1 和 R2的f0...
思科路由器×××配置-- 动态 site-to-site ×××(上)
weixin_34004576的博客
11-15 202
前几次我们聊过了 SITE-TO-SITE ×××拓扑如下 上述拓扑是因为公司只有一个分公司,所以可以创建××× 但是如果公司规模越来越大,分支机构数目越来越多,网络拓扑发生了变化 如下 在普通的 IPSec site-to-site ×××中,需要为每一个peer定义一个密码,在定义 crypto map 时候也需要定义peer,以此来定义加...
能影响网站网速的因素?
weixin_44939873的博客
07-01 186
能影响网站加速因素有很多,总的来说就是: 1.共享主机服务器无法满足现有的宽带消耗,响应速度慢; 2.网站的图片和内容内存太大,需要花费很多时间下载; 3.网站没有针对大量不同的脚本和图片进行快速加载优化,加载时间长; 4.网站的服务器位置与你网站的访问者位于不同的地理位置。 该如何加速? 作为站长,会经常有疑问为什么网站使用CDN加速后,却依然收到许多用户反馈网站访问速度慢的问题呢? 其实出现的...
Cisco思科路由器配置IPsec,建立Site to Site项目实例
qq_20388417的博客
03-07 7198
项目背景: 最近做的一个项目中需要总公司和分公司之间内网互通; 总公司内网段:192.168.0.0/16 分公司内网段:172.16.0.0/16 考虑到专线的成本问题,最后公司决定使用IPsec VPN。 简化网络拓扑: 配置: 1. 配置路由器端口IP地址,使相邻路由器相互ping通 R1: R1(config)#int e0/0 R1(config-if)#ip...
CCNA-command.zip_site:www.pudn.com
09-23
标题中的"CCNA-command.zip"表明这是一个与Cisco Certified Network Associate(CCNA)认证相关的压缩文件,其中包含了关于路由器和交换机基本配置命令的信息。"site:www.pudn.com"标签可能是指该资源来源于网络平台...
8.4.1.2 Packet Tracer - Configure and Verify a Site-to-Site IPse
最新发布
01-02
在本实验任务中,你将使用Cisco Packet Tracer模拟环境通过命令行界面(CLI)来配置和验证一个站点到站点的IPsec(Internet Protocol Security)虚拟专用网络。以下是一些基本步骤: 1. **初始化路由器配置**: - ...
labtop8.3-5-GRE Over IPSec-site-to-site配置-ans.pkt
06-09
思科 路由器,三层交换机,二层交换机的easy配置
思科路由器配置命令.pdf
03-21
### 思科路由器配置命令详解 #### 一、概述 思科路由器作为网络通信的核心设备之一,其配置命令对于确保网络稳定性和安全性至关重要。本文档按照字母顺序详细介绍了思科路由器常用的配置命令,并针对每一条命令进行...
CCNP-350-701-DUMPS学习文档手册202208.pdf
10-17
2. 在Cisco ASA平台上,REST API的两种有效请求方法是GET和PUT。这些方法用于与ASA设备交互,进行配置读取或更新操作。 3. 北向接口(Northbound APIs)在SDN架构中的主要功能是实现SDN控制器与管理解决方案之间的...
ipsec×××综合实验配置
weixin_33811539的博客
03-12 417
一、基本配置:ip r1(config)#int fa0/0r1(config-if)#no shutdown r1(config-if)#ip add 199.1.1.1 255.255.255.0r1(config-if)#int loo 0r1(config-if)#ip add 10.1.1.100 255.255.255.0 r2(c...
网络安全篇 使用IPSec实现数据的机密性传输-29
佐德将军的博客
05-23 2786
目录 一、实验原理 二、实验拓扑 三、实验步骤 四、实验过程 总结 实验难度 3 实验复杂度 3 一、实验原理 VPN的出现是为了实现远程的数据机密性传输,因为传统的以太网方式传输数据都是明文的,数据透露的风险极大,非常不安全。为了解决这个数据安全传输的问题,可以使用VPN(Virtual Private Network,虚拟私有网络)技术来实现。 二、实验拓扑 三、实验步骤 1.搭建如图所示的网络拓扑图; 2.初始化设备,配置相应的I...
多站点IPSec *** 的实现和配置
weixin_33725807的博客
10-30 402
实验环境(模拟多站点***)R1和R3 , R4建立***R3和R1 , R4建立***R4和R1 , R3建立***一,基本配置1.R1的基本配置R1(config)#int loopback 0R1(config-if)#ip add 1.1.1.1 255.255.255.255R1(config-if)#no shR1(config-if)#int f0/0R1(co...
Cisco路由器配置Ipsec
amsilence的博客
10-23 1万+
Cisco 路由器配置Ipsec,以及各阶段的SA内容解读
Ipsec配置
LeslieLiangZ的博客
03-13 9462
Ipsec用于在数据传输过程中的加密协议 1. 搭建环境拓扑 2. 配置第一阶段:isakmp协商 需要配置的有isakmp协商的加密算法、验证算法、验证方式和共享密钥及可选的group值和生存时间Lifetime R1配置: R1(config)#crypto isakmp policy 1 定义策略 R1(config-isakmp)#encryption 3des 加密算法为3des R1...
signature=7cc9eb5375e5af7992d0a181c9187693,ISCW实验7:采用RSA Nonce加密认证的IPSec ×××
weixin_33506920的博客
05-29 947
实验过程:第一步 基本接口配置R1:R1(config)#int lo0R1(config-if)#ip add 1.1.1.1 255.255.255.0R1(config-if)#int f0/0R1(config-if)#ip add 192.168.1.1 255.255.255.0R1(config-if)#no shR1(config-if)#exitR1(config)#ip ro...
思科路由器IKEV2 L2L***预共享密码认证配置
weixin_34413065的博客
07-10 795
一.概述:    思科15.2的IOS支持IKEV2的IPSEC ***,安全性较IKEV1有所增强,第一阶段认证方式也有多种方式,支持本地与远程采用不同的认证方式,这次测试为两端本地和远程都采用预共享密钥的方式。二.基本思路:A.***对等体一边采用Static VTI方式配置,一边采用Dynamic VTI方式配置B.实际测试的时候发现VTI接口不能敲tunnel mode ipsec ipv...
Packet Tracer 思科模拟器入门教程 之十二 路由器RIP动态路由配置
热门推荐
柚子君的小窝
12-22 2万+
实验目的 掌握RIP协议的配置方法: 掌握查看通过动态路由协议RIP学习产生的路由; 熟悉广域网线缆的链接方式; 实验背景        假设校园网通过一台三层交换机连到校园网出口路由器上,路由器再和校园外的另一台路由器连接。现要做适当配置,实现校园网内部主机与校园网外部主机之间的相互通信。为了简化网管的管理维护工作,学校决定采用RIPV2协议实现互通。 技术原理 RIP(Routin...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值