实验拓扑:
一:实验需要
1:分公司开发项目小组所在网络地址为172.16.10.0/24,该网络的主机可以通过×××访问总公司开
发数据服务器(10.10.33.0/24),但不能访问Internet.
2:分公司的其他客户端(同属于172.16.0.0/16网段)可以访问Internet.
二:实验过程:
1:基本接口的配置
R1(config)#int f0/0
R1(config-if)#ip add 100.0.0.1 255.255.255.252
R1(config-if)#no sh
R1(config-if)#int f1/0
R1(config-if)#ip add 172.16.10.254 255.255.0.0
R1(config-if)#no sh
R2(config)#int f0/0
R2(config-if)#ip add 100.0.0.2 255.255.255.252
R2(config-if)#no sh
R2(config-if)#int f1/0
R2(config-if)#ip add 200.0.0.2 255.255.255.252
R2(config-if)#no sh
R3(config)#int f0/0
R3(config-if)#ip add 200.0.0.1 255.255.255.252
R3(config-if)#no sh
R3(config-if)#int f1/0
R3(config-if)#ip add 10.10.33.254 255.255.255.0
R3(config-if)#no sh
2:做通路由
R1(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2
R3(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2
3:配置NAT.
配置分公司其它用户上公网
R1(config)#access-list 101 deny ip 172.16.10.0 0.0.0.255 any
R1(config)#access-list 101 permit ip 172.16.0.0 0.0.255.255 any
R1(config)#int f1/0
R1(config-if)#ip nat inside
R1(config-if)#int f0/0
R1(config-if)#ip nat outside
R1(config)#ip nat inside source list 101 interface f0/0 overload
4:×××的配置:
R1(config)#crypto isakmp policy 1
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#hash sha
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 2
R1(config-isakmp)#lifetime 10000
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 0 cisco address 200.0.0.1
R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255
R1(config)#crypto ipsec transform-set mytrans esp-des ah-sha-hmac
R1(cfg-crypto-trans)#mode tunnel
R1(cfg-crypto-trans)#exit
R1(config)#crypto ipsec security-association lifetime seconds 1800
R1(config)#crypto map mymap 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
R1(config-crypto-map)#set peer 200.0.0.1
R1(config-crypto-map)#set transform-set mytrans
R1(config-crypto-map)#match address 100
R1(config-crypto-map)#int f0/0
R1(config-if)#crypto map mymap
R3(config)#crypto isakmp policy 1
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#hash sha
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#group 2
R3(config-isakmp)#lifetime 10000
R3(config-isakmp)#exit
R3(config)#crypto isakmp key 0 cisco address 100.0.0.1
R3(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.2
R3(config)#crypto ipsec transform-set mytrans esp-des ah-sha-hmac
R3(cfg-crypto-trans)#mo
R3(cfg-crypto-trans)#mode tun
R3(cfg-crypto-trans)#mode tunnel
R3(cfg-crypto-trans)#exit
R3(config)#crypto ipsec security-association lifetime seconds 1800
R3(config)#crypto map mymap 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
R3(config-crypto-map)#set peer 100.0.0.1
R3(config-crypto-map)#set transform-set mytrans
R3(config-crypto-map)#match address 100
R3(config-crypto-map)#int f0/0
R3(config-if)#crypto map mymap
5:测试实验现象:
开发部能否访问开发部服务器
VPCS 1 >ping 10.10.33.1
10.10.33.1 icmp_seq=1 timeout
10.10.33.1 icmp_seq=2 timeout
10.10.33.1 icmp_seq=3 time=171.000 ms
10.10.33.1 icmp_seq=4 time=172.000 ms
10.10.33.1 icmp_seq=5 time=172.000 ms
开发部能否访问公网
VPCS 1 >ping 200.0.0.1
200.0.0.1 icmp_seq=1 timeout
200.0.0.1 icmp_seq=2 timeout
200.0.0.1 icmp_seq=3 timeout
200.0.0.1 icmp_seq=4 timeout
200.0.0.1 icmp_seq=5 timeout
分公司其它客户端能否访问开发部服务器
VPCS 2 >ping 10.10.33.1
10.10.33.1 icmp_seq=1 timeout
10.10.33.1 icmp_seq=2 timeout
10.10.33.1 icmp_seq=3 timeout
10.10.33.1 icmp_seq=4 timeout
10.10.33.1 icmp_seq=5 timeout
四:实验总结(×××的配置总结):
。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
1:配置管理连接:
R1(config)#crypto isakmp enable outside 在outside接口上启用IKE协商功能,路由器默认开启
R1(config)#crypto isakmp policy 1 定义管理连接的策略
R1(config-isakmp)#authentication pre-share 如何认证对等体
R1(config-isakmp)#encryption aes 如何加密
R1(config-isakmp)#hash md5 如何认证
R1(config-isakmp)#group 2 如何为数据连接生成密钥
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 6 cisco address 200.0.0.1
实验拓扑:
一:实验需要
1:分公司开发项目小组所在网络地址为172.16.10.0/24,该网络的主机可以通过×××访问总公司开
发数据服务器(10.10.33.0/24),但不能访问Internet.
2:分公司的其他客户端(同属于172.16.0.0/16网段)可以访问Internet.
二:实验过程:
1:基本接口的配置
R1(config)#int f0/0
R1(config-if)#ip add 100.0.0.1 255.255.255.252
R1(config-if)#no sh
R1(config-if)#int f1/0
R1(config-if)#ip add 172.16.10.254 255.255.0.0
R1(config-if)#no sh
R2(config)#int f0/0
R2(config-if)#ip add 100.0.0.2 255.255.255.252
R2(config-if)#no sh
R2(config-if)#int f1/0
R2(config-if)#ip add 200.0.0.2 255.255.255.252
R2(config-if)#no sh
R3(config)#int f0/0
R3(config-if)#ip add 200.0.0.1 255.255.255.252
R3(config-if)#no sh
R3(config-if)#int f1/0
R3(config-if)#ip add 10.10.33.254 255.255.255.0
R3(config-if)#no sh
2:做通路由
R1(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2
R3(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2
3:配置NAT.
配置分公司其它用户上公网
R1(config)#access-list 101 deny ip 172.16.10.0 0.0.0.255 any
R1(config)#access-list 101 permit ip 172.16.0.0 0.0.255.255 any
R1(config)#int f1/0
R1(config-if)#ip nat inside
R1(config-if)#int f0/0
R1(config-if)#ip nat outside
R1(config)#ip nat inside source list 101 interface f0/0 overload
4:×××的配置:
R1(config)#crypto isakmp policy 1
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#hash sha
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 2
R1(config-isakmp)#lifetime 10000
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 0 cisco address 200.0.0.1
R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255
R1(config)#crypto ipsec transform-set mytrans esp-des ah-sha-hmac
R1(cfg-crypto-trans)#mode tunnel
R1(cfg-crypto-trans)#exit
R1(config)#crypto ipsec security-association lifetime seconds 1800
R1(config)#crypto map mymap 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
R1(config-crypto-map)#set peer 200.0.0.1
R1(config-crypto-map)#set transform-set mytrans
R1(config-crypto-map)#match address 100
R1(config-crypto-map)#int f0/0
R1(config-if)#crypto map mymap
R3(config)#crypto isakmp policy 1
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#hash sha
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#group 2
R3(config-isakmp)#lifetime 10000
R3(config-isakmp)#exit
R3(config)#crypto isakmp key 0 cisco address 100.0.0.1
R3(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.2
R3(config)#crypto ipsec transform-set mytrans esp-des ah-sha-hmac
R3(cfg-crypto-trans)#mo
R3(cfg-crypto-trans)#mode tun
R3(cfg-crypto-trans)#mode tunnel
R3(cfg-crypto-trans)#exit
R3(config)#crypto ipsec security-association lifetime seconds 1800
R3(config)#crypto map mymap 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
R3(config-crypto-map)#set peer 100.0.0.1
R3(config-crypto-map)#set transform-set mytrans
R3(config-crypto-map)#match address 100
R3(config-crypto-map)#int f0/0
R3(config-if)#crypto map mymap
5:测试实验现象:
开发部能否访问开发部服务器
VPCS 1 >ping 10.10.33.1
10.10.33.1 icmp_seq=1 timeout
10.10.33.1 icmp_seq=2 timeout
10.10.33.1 icmp_seq=3 time=171.000 ms
10.10.33.1 icmp_seq=4 time=172.000 ms
10.10.33.1 icmp_seq=5 time=172.000 ms
开发部能否访问公网
VPCS 1 >ping 200.0.0.1
200.0.0.1 icmp_seq=1 timeout
200.0.0.1 icmp_seq=2 timeout
200.0.0.1 icmp_seq=3 timeout
200.0.0.1 icmp_seq=4 timeout
200.0.0.1 icmp_seq=5 timeout
分公司其它客户端能否访问开发部服务器
VPCS 2 >ping 10.10.33.1
10.10.33.1 icmp_seq=1 timeout
10.10.33.1 icmp_seq=2 timeout
10.10.33.1 icmp_seq=3 timeout
10.10.33.1 icmp_seq=4 timeout
10.10.33.1 icmp_seq=5 timeout
四:实验总结(×××的配置总结):
。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
1:配置管理连接:
R1(config)#crypto isakmp enable outside 在outside接口上启用IKE协商功能,路由器默认开启
R1(config)#crypto isakmp policy 1 定义管理连接的策略
R1(config-isakmp)#authentication pre-share 如何认证对等体
R1(config-isakmp)#encryption aes 如何加密
R1(config-isakmp)#hash md5 如何认证
R1(config-isakmp)#group 2 如何为数据连接生成密钥
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 6 cisco address 200.0.0.1
2:配置数据连接:
(1) 定义触发流量实验拓扑:
一:实验需要
1:分公司开发项目小组所在网络地址为172.16.10.0/24,该网络的主机可以通过×××访问总公司开
发数据服务器(10.10.33.0/24),但不能访问Internet.
2:分公司的其他客户端(同属于172.16.0.0/16网段)可以访问Internet.
二:实验过程:
1:基本接口的配置
R1(config)#int f0/0
R1(config-if)#ip add 100.0.0.1 255.255.255.252
R1(config-if)#no sh
R1(config-if)#int f1/0
R1(config-if)#ip add 172.16.10.254 255.255.0.0
R1(config-if)#no sh
R2(config)#int f0/0
R2(config-if)#ip add 100.0.0.2 255.255.255.252
R2(config-if)#no sh
R2(config-if)#int f1/0
R2(config-if)#ip add 200.0.0.2 255.255.255.252
R2(config-if)#no sh
R3(config)#int f0/0
R3(config-if)#ip add 200.0.0.1 255.255.255.252
R3(config-if)#no sh
R3(config-if)#int f1/0
R3(config-if)#ip add 10.10.33.254 255.255.255.0
R3(config-if)#no sh
2:做通路由
R1(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2
R3(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2
3:配置NAT.
配置分公司其它用户上公网
R1(config)#access-list 101 deny ip 172.16.10.0 0.0.0.255 any
R1(config)#access-list 101 permit ip 172.16.0.0 0.0.255.255 any
R1(config)#int f1/0
R1(config-if)#ip nat inside
R1(config-if)#int f0/0
R1(config-if)#ip nat outside
R1(config)#ip nat inside source list 101 interface f0/0 overload
4:×××的配置:
R1(config)#crypto isakmp policy 1
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#hash sha
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 2
R1(config-isakmp)#lifetime 10000
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 0 cisco address 200.0.0.1
R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255
R1(config)#crypto ipsec transform-set mytrans esp-des ah-sha-hmac
R1(cfg-crypto-trans)#mode tunnel
R1(cfg-crypto-trans)#exit
R1(config)#crypto ipsec security-association lifetime seconds 1800
R1(config)#crypto map mymap 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
R1(config-crypto-map)#set peer 200.0.0.1
R1(config-crypto-map)#set transform-set mytrans
R1(config-crypto-map)#match address 100
R1(config-crypto-map)#int f0/0
R1(config-if)#crypto map mymap
R3(config)#crypto isakmp policy 1
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#hash sha
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#group 2
R3(config-isakmp)#lifetime 10000
R3(config-isakmp)#exit
R3(config)#crypto isakmp key 0 cisco address 100.0.0.1
R3(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.2
R3(config)#crypto ipsec transform-set mytrans esp-des ah-sha-hmac
R3(cfg-crypto-trans)#mo
R3(cfg-crypto-trans)#mode tun
R3(cfg-crypto-trans)#mode tunnel
R3(cfg-crypto-trans)#exit
R3(config)#crypto ipsec security-association lifetime seconds 1800
R3(config)#crypto map mymap 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
R3(config-crypto-map)#set peer 100.0.0.1
R3(config-crypto-map)#set transform-set mytrans
R3(config-crypto-map)#match address 100
R3(config-crypto-map)#int f0/0
R3(config-if)#crypto map mymap
5:测试实验现象:
开发部能否访问开发部服务器
VPCS 1 >ping 10.10.33.1
10.10.33.1 icmp_seq=1 timeout
10.10.33.1 icmp_seq=2 timeout
10.10.33.1 icmp_seq=3 time=171.000 ms
10.10.33.1 icmp_seq=4 time=172.000 ms
10.10.33.1 icmp_seq=5 time=172.000 ms
开发部能否访问公网
VPCS 1 >ping 200.0.0.1
200.0.0.1 icmp_seq=1 timeout
200.0.0.1 icmp_seq=2 timeout
200.0.0.1 icmp_seq=3 timeout
200.0.0.1 icmp_seq=4 timeout
200.0.0.1 icmp_seq=5 timeout
分公司其它客户端能否访问开发部服务器
VPCS 2 >ping 10.10.33.1
10.10.33.1 icmp_seq=1 timeout
10.10.33.1 icmp_seq=2 timeout
10.10.33.1 icmp_seq=3 timeout
10.10.33.1 icmp_seq=4 timeout
10.10.33.1 icmp_seq=5 timeout
四:实验总结(×××的配置总结):
。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
1:配置管理连接:
R1(config)#crypto isakmp enable outside 在outside接口上启用IKE协商功能,路由器默认开启
R1(config)#crypto isakmp policy 1 定义管理连接的策略
R1(config-isakmp)#authentication pre-share 如何认证对等体
R1(config-isakmp)#encryption aes 如何加密
R1(config-isakmp)#hash md5 如何认证
R1(config-isakmp)#group 2 如何为数据连接生成密钥
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 6 cisco address 200.0.0.1
2:配置数据连接:
(1) 定义触发流量
R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255
(2) 定义传输集,定义保护数据的方法.(如何加密,如何认证)
R1(config)# crypto ipsec transform-set mytrans esp-aes esp-sha-hmac
R1(cfg-crypto-trans)#exit
3:定义map
R1(config)# crypto map mymap 10 set peer 200.0.0.1 和谁建立×××,指对等体
R1(config)# crypto map mymap 10 match address 100 保护谁,使用acl
R1(config)# crypto map mymap 10 set transform-set mytrans 如何保护,调用传输集
4:将map调用到接口
R3(config-crypto-map)#int f0/0
R3(config-if)#crypto map mymap (1) 定义触发流量
一:实验需要
1:分公司开发项目小组所在网络地址为172.16.10.0/24,该网络的主机可以通过×××访问总公司开
发数据服务器(10.10.33.0/24),但不能访问Internet.
2:分公司的其他客户端(同属于172.16.0.0/16网段)可以访问Internet.
二:实验过程:
1:基本接口的配置
R1(config)#int f0/0
R1(config-if)#ip add 100.0.0.1 255.255.255.252
R1(config-if)#no sh
R1(config-if)#int f1/0
R1(config-if)#ip add 172.16.10.254 255.255.0.0
R1(config-if)#no sh
R2(config)#int f0/0
R2(config-if)#ip add 100.0.0.2 255.255.255.252
R2(config-if)#no sh
R2(config-if)#int f1/0
R2(config-if)#ip add 200.0.0.2 255.255.255.252
R2(config-if)#no sh
R3(config)#int f0/0
R3(config-if)#ip add 200.0.0.1 255.255.255.252
R3(config-if)#no sh
R3(config-if)#int f1/0
R3(config-if)#ip add 10.10.33.254 255.255.255.0
R3(config-if)#no sh
2:做通路由
R1(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2
R3(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2
3:配置NAT.
配置分公司其它用户上公网
R1(config)#access-list 101 deny ip 172.16.10.0 0.0.0.255 any
R1(config)#access-list 101 permit ip 172.16.0.0 0.0.255.255 any
R1(config)#int f1/0
R1(config-if)#ip nat inside
R1(config-if)#int f0/0
R1(config-if)#ip nat outside
R1(config)#ip nat inside source list 101 interface f0/0 overload
4:×××的配置:
R1(config)#crypto isakmp policy 1
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#hash sha
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 2
R1(config-isakmp)#lifetime 10000
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 0 cisco address 200.0.0.1
R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255
R1(config)#crypto ipsec transform-set mytrans esp-des ah-sha-hmac
R1(cfg-crypto-trans)#mode tunnel
R1(cfg-crypto-trans)#exit
R1(config)#crypto ipsec security-association lifetime seconds 1800
R1(config)#crypto map mymap 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
R1(config-crypto-map)#set peer 200.0.0.1
R1(config-crypto-map)#set transform-set mytrans
R1(config-crypto-map)#match address 100
R1(config-crypto-map)#int f0/0
R1(config-if)#crypto map mymap
R3(config)#crypto isakmp policy 1
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#hash sha
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#group 2
R3(config-isakmp)#lifetime 10000
R3(config-isakmp)#exit
R3(config)#crypto isakmp key 0 cisco address 100.0.0.1
R3(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.2
R3(config)#crypto ipsec transform-set mytrans esp-des ah-sha-hmac
R3(cfg-crypto-trans)#mo
R3(cfg-crypto-trans)#mode tun
R3(cfg-crypto-trans)#mode tunnel
R3(cfg-crypto-trans)#exit
R3(config)#crypto ipsec security-association lifetime seconds 1800
R3(config)#crypto map mymap 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
R3(config-crypto-map)#set peer 100.0.0.1
R3(config-crypto-map)#set transform-set mytrans
R3(config-crypto-map)#match address 100
R3(config-crypto-map)#int f0/0
R3(config-if)#crypto map mymap
5:测试实验现象:
开发部能否访问开发部服务器
VPCS 1 >ping 10.10.33.1
10.10.33.1 icmp_seq=1 timeout
10.10.33.1 icmp_seq=2 timeout
10.10.33.1 icmp_seq=3 time=171.000 ms
10.10.33.1 icmp_seq=4 time=172.000 ms
10.10.33.1 icmp_seq=5 time=172.000 ms
开发部能否访问公网
VPCS 1 >ping 200.0.0.1
200.0.0.1 icmp_seq=1 timeout
200.0.0.1 icmp_seq=2 timeout
200.0.0.1 icmp_seq=3 timeout
200.0.0.1 icmp_seq=4 timeout
200.0.0.1 icmp_seq=5 timeout
分公司其它客户端能否访问开发部服务器
VPCS 2 >ping 10.10.33.1
10.10.33.1 icmp_seq=1 timeout
10.10.33.1 icmp_seq=2 timeout
10.10.33.1 icmp_seq=3 timeout
10.10.33.1 icmp_seq=4 timeout
10.10.33.1 icmp_seq=5 timeout
四:实验总结(×××的配置总结):
。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
1:配置管理连接:
R1(config)#crypto isakmp enable outside 在outside接口上启用IKE协商功能,路由器默认开启
R1(config)#crypto isakmp policy 1 定义管理连接的策略
R1(config-isakmp)#authentication pre-share 如何认证对等体
R1(config-isakmp)#encryption aes 如何加密
R1(config-isakmp)#hash md5 如何认证
R1(config-isakmp)#group 2 如何为数据连接生成密钥
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 6 cisco address 200.0.0.1
2:配置数据连接:
(1) 定义触发流量实验拓扑:
一:实验需要
1:分公司开发项目小组所在网络地址为172.16.10.0/24,该网络的主机可以通过×××访问总公司开
发数据服务器(10.10.33.0/24),但不能访问Internet.
2:分公司的其他客户端(同属于172.16.0.0/16网段)可以访问Internet.
二:实验过程:
1:基本接口的配置
R1(config)#int f0/0
R1(config-if)#ip add 100.0.0.1 255.255.255.252
R1(config-if)#no sh
R1(config-if)#int f1/0
R1(config-if)#ip add 172.16.10.254 255.255.0.0
R1(config-if)#no sh
R2(config)#int f0/0
R2(config-if)#ip add 100.0.0.2 255.255.255.252
R2(config-if)#no sh
R2(config-if)#int f1/0
R2(config-if)#ip add 200.0.0.2 255.255.255.252
R2(config-if)#no sh
R3(config)#int f0/0
R3(config-if)#ip add 200.0.0.1 255.255.255.252
R3(config-if)#no sh
R3(config-if)#int f1/0
R3(config-if)#ip add 10.10.33.254 255.255.255.0
R3(config-if)#no sh
2:做通路由
R1(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2
R3(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2
3:配置NAT.
配置分公司其它用户上公网
R1(config)#access-list 101 deny ip 172.16.10.0 0.0.0.255 any
R1(config)#access-list 101 permit ip 172.16.0.0 0.0.255.255 any
R1(config)#int f1/0
R1(config-if)#ip nat inside
R1(config-if)#int f0/0
R1(config-if)#ip nat outside
R1(config)#ip nat inside source list 101 interface f0/0 overload
4:×××的配置:
R1(config)#crypto isakmp policy 1
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#hash sha
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 2
R1(config-isakmp)#lifetime 10000
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 0 cisco address 200.0.0.1
R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255
R1(config)#crypto ipsec transform-set mytrans esp-des ah-sha-hmac
R1(cfg-crypto-trans)#mode tunnel
R1(cfg-crypto-trans)#exit
R1(config)#crypto ipsec security-association lifetime seconds 1800
R1(config)#crypto map mymap 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
R1(config-crypto-map)#set peer 200.0.0.1
R1(config-crypto-map)#set transform-set mytrans
R1(config-crypto-map)#match address 100
R1(config-crypto-map)#int f0/0
R1(config-if)#crypto map mymap
R3(config)#crypto isakmp policy 1
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#hash sha
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#group 2
R3(config-isakmp)#lifetime 10000
R3(config-isakmp)#exit
R3(config)#crypto isakmp key 0 cisco address 100.0.0.1
R3(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.2
R3(config)#crypto ipsec transform-set mytrans esp-des ah-sha-hmac
R3(cfg-crypto-trans)#mo
R3(cfg-crypto-trans)#mode tun
R3(cfg-crypto-trans)#mode tunnel
R3(cfg-crypto-trans)#exit
R3(config)#crypto ipsec security-association lifetime seconds 1800
R3(config)#crypto map mymap 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
R3(config-crypto-map)#set peer 100.0.0.1
R3(config-crypto-map)#set transform-set mytrans
R3(config-crypto-map)#match address 100
R3(config-crypto-map)#int f0/0
R3(config-if)#crypto map mymap
5:测试实验现象:
开发部能否访问开发部服务器
VPCS 1 >ping 10.10.33.1
10.10.33.1 icmp_seq=1 timeout
10.10.33.1 icmp_seq=2 timeout
10.10.33.1 icmp_seq=3 time=171.000 ms
10.10.33.1 icmp_seq=4 time=172.000 ms
10.10.33.1 icmp_seq=5 time=172.000 ms
开发部能否访问公网
VPCS 1 >ping 200.0.0.1
200.0.0.1 icmp_seq=1 timeout
200.0.0.1 icmp_seq=2 timeout
200.0.0.1 icmp_seq=3 timeout
200.0.0.1 icmp_seq=4 timeout
200.0.0.1 icmp_seq=5 timeout
分公司其它客户端能否访问开发部服务器
VPCS 2 >ping 10.10.33.1
10.10.33.1 icmp_seq=1 timeout
10.10.33.1 icmp_seq=2 timeout
10.10.33.1 icmp_seq=3 timeout
10.10.33.1 icmp_seq=4 timeout
10.10.33.1 icmp_seq=5 timeout
四:实验总结(×××的配置总结):
。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
1:配置管理连接:
R1(config)#crypto isakmp enable outside 在outside接口上启用IKE协商功能,路由器默认开启
R1(config)#crypto isakmp policy 1 定义管理连接的策略
R1(config-isakmp)#authentication pre-share 如何认证对等体
R1(config-isakmp)#encryption aes 如何加密
R1(config-isakmp)#hash md5 如何认证
R1(config-isakmp)#group 2 如何为数据连接生成密钥
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 6 cisco address 200.0.0.1
2:配置数据连接:
(1) 定义触发流量
R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255
(2) 定义传输集,定义保护数据的方法.(如何加密,如何认证)
R1(config)# crypto ipsec transform-set mytrans esp-aes esp-sha-hmac
R1(cfg-crypto-trans)#exit
3:定义map
R1(config)# crypto map mymap 10 set peer 200.0.0.1 和谁建立×××,指对等体
R1(config)# crypto map mymap 10 match address 100 保护谁,使用acl
R1(config)# crypto map mymap 10 set transform-set mytrans 如何保护,调用传输集
4:将map调用到接口
R3(config-crypto-map)#int f0/0
R3(config-if)#crypto map mymap (1) 定义触发流量
R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255
(2) 定义传输集,定义保护数据的方法.(如何加密,如何认证)
R1(config)# crypto ipsec transform-set mytrans esp-aes esp-sha-hmac
R1(cfg-crypto-trans)#exit
3:定义map
R1(config)# crypto map mymap 10 set peer 200.0.0.1 和谁建立×××,指对等体
R1(config)# crypto map mymap 10 match address 100 保护谁,使用acl
R1(config)# crypto map mymap 10 set transform-set mytrans 如何保护,调用传输集
4:将map调用到接口
R3(config-crypto-map)#int f0/0
R3(config-if)#crypto map mymap
R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255
(2) 定义传输集,定义保护数据的方法.(如何加密,如何认证)
R1(config)# crypto ipsec transform-set mytrans esp-aes esp-sha-hmac
R1(cfg-crypto-trans)#exit
3:定义map
R1(config)# crypto map mymap 10 set peer 200.0.0.1 和谁建立×××,指对等体
R1(config)# crypto map mymap 10 match address 100 保护谁,使用acl
R1(config)# crypto map mymap 10 set transform-set mytrans 如何保护,调用传输集
4:将map调用到接口
R3(config-crypto-map)#int f0/0
R3(config-if)#crypto map mymap
一:实验需要
1:
分公司开发项目小组所在网络地址为172.16.10.0/24,该网络的主机可以通过×××访问总公司开
发数据服务器(10.10.33.0/24),但不能访问Internet.
2:
分公司的其他客户端(同属于172.16.0.0/16网段)可以访问Internet.
二:实验过程:
1:
基本接口的配置
R1(config)#int f0/0
R1(config-if)#ip add 100.0.0.1 255.255.255.252
R1(config-if)#no sh
R1(config-if)#int f1/0
R1(config-if)#ip add 172.16.10.254 255.255.0.0
R1(config-if)#no sh
R2(config)#int f0/0
R2(config-if)#ip add 100.0.0.2 255.255.255.252
R2(config-if)#no sh
R2(config-if)#int f1/0
R2(config-if)#ip add 200.0.0.2 255.255.255.252
R2(config-if)#no sh
R3(config)#int f0/0
R3(config-if)#ip add 200.0.0.1 255.255.255.252
R3(config-if)#no sh
R3(config-if)#int f1/0
R3(config-if)#ip add 10.10.33.254 255.255.255.0
R3(config-if)#no sh
2:
做通路由
R1(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2
R3(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2
3:
配置NAT.
配置分公司其它用户上公网
R1(config)#access-list 101 deny ip 172.16.10.0 0.0.0.255 any
R1(config)#access-list 101 permit ip 172.16.0.0 0.0.255.255 any
R1(config)#int f1/0
R1(config-if)#ip nat inside
R1(config-if)#int f0/0
R1(config-if)#ip nat outside
R1(config)#ip nat inside source list 101 interface f0/0 overload
4:×××
的配置:
R1(config)#crypto isakmp policy 1
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#hash sha
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 2
R1(config-isakmp)#lifetime 10000
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 0 cisco address 200.0.0.1
R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255
R1(config)#crypto ipsec transform-set mytrans esp-des ah-sha-hmac
R1(cfg-crypto-trans)#mode tunnel
R1(cfg-crypto-trans)#exit
R1(config)#crypto ipsec security-association lifetime seconds 1800
R1(config)#crypto map mymap 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
R1(config-crypto-map)#set peer 200.0.0.1
R1(config-crypto-map)#set transform-set mytrans
R1(config-crypto-map)#match address 100
R1(config-crypto-map)#int f0/0
R1(config-if)#crypto map mymap
R3(config)#crypto isakmp policy 1
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#hash sha
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#group 2
R3(config-isakmp)#lifetime 10000
R3(config-isakmp)#exit
R3(config)#crypto isakmp key 0 cisco address 100.0.0.1
R3(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.2
R3(config)#crypto ipsec transform-set mytrans esp-des ah-sha-hmac
R3(cfg-crypto-trans)#mo
R3(cfg-crypto-trans)#mode tun
R3(cfg-crypto-trans)#mode tunnel
R3(cfg-crypto-trans)#exit
R3(config)#crypto ipsec security-association lifetime seconds 1800
R3(config)#crypto map mymap 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
R3(config-crypto-map)#set peer 100.0.0.1
R3(config-crypto-map)#set transform-set mytrans
R3(config-crypto-map)#match address 100
R3(config-crypto-map)#int f0/0
R3(config-if)#crypto map mymap
5:
测试实验现象:
开发部能否访问开发部服务器
VPCS 1 >ping 10.10.33.1
10.10.33
.1 icmp_seq=1 timeout
10.10.33
.1 icmp_seq=2 timeout
10.10.33
.1 icmp_seq=3 time=171.000 ms
10.10.33
.1 icmp_seq=4 time=172.000 ms
10.10.33
.1 icmp_seq=5 time=172.000 ms
开发部能否访问公网
VPCS 1 >ping 200.0.0.1
200.0.0.1 icmp_seq=1 timeout
200.0.0.1 icmp_seq=2 timeout
200.0.0.1 icmp_seq=3 timeout
200.0.0.1 icmp_seq=4 timeout
200.0.0.1 icmp_seq=5 timeout
分公司其它客户端能否访问开发部服务器
VPCS 2 >ping 10.10.33.1
10.10.33
.1 icmp_seq=1 timeout
10.10.33
.1 icmp_seq=2 timeout
10.10.33
.1 icmp_seq=3 timeout
10.10.33
.1 icmp_seq=4 timeout
10.10.33
.1 icmp_seq=5 timeout
四:实验总结(×××的配置总结):
。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
1:
配置管理连接:
R1(config)#crypto isakmp enable outside
在outside接口上启用IKE协商功能,路由器默认开启
R1(config)#crypto isakmp policy 1
定义管理连接的策略
R1(config-isakmp)#authentication pre-share
如何认证对等体
R1(config-isakmp)#encryption aes
如何加密
R1(config-isakmp)#hash md5
如何认证
R1(config-isakmp)#group 2
如何为数据连接生成密钥
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 6 cisco address 200.0.0.1
2:
配置数据连接:
(1)
定义触发流量
R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255
(2)
定义传输集,定义保护数据的方法.(如何加密,如何认证)
R1(config)# crypto ipsec transform-set mytrans esp-aes esp-sha-hmac
R1(cfg-crypto-trans)#exit
3:
定义map
R1(config)# crypto map mymap 10 set peer 200.0.0.1
和谁建立×××,指对等体
R1(config)# crypto map mymap 10 match address 100
保护谁,使用acl
R1(config)# crypto map mymap 10 set transform-set mytrans
如何保护,调用传输集
4:
将map调用到接口
R3(config-crypto-map)#int f0/0
R3(config-if)#crypto map mymap
转载于:https://blog.51cto.com/chenlishan/651876