本文是由小T为大家献上的一道“开胃小菜”,“味道”做的不好,还请大家指点批评。小T我努力做到符合大家的“口味”(看不清楚图,请双击放大) !
先简单介绍下本文的模拟真实环境想法!本文是用Cisco PacketTracer5.2模拟器(软件下载见我博客的《PacketTracer 5.2的IPsec ×××实验说明(附PacketTracer 5.2下载地址)》)做的一个关于×××的综合实验!其基本构想是这样的,最真实的模拟了ISP的DNS服务器, Web服务器(简单的讲这个直接挂在Internet网的Web服务器,就是我们常说的服务器在电信啊,网通啊等ISP托管的,日常维护这些服务器都是远程登入上去的!)。用了一个AP来模拟移动无线网(你可以想象成我们常用的无线上网,如:GPRS,无线城域网,3G等。简单点讲就是通过各种无线技术能上Internet网)。至于Internet网的模拟嘛,还是我常说的没有私有IP路由表的路由器。先让大家看看我的实验拓扑:
![](https://i-blog.csdnimg.cn/blog_migrate/5947ee527503d9ff8f08c9034c459cce.jpeg)
实验的基本想法,配置思路和测试方法如下:(在附件中有本实验的PKT文件下载,大家可以按本文实验。至于IPSEC ×××讲解和远程的Easy ×××我就不讲解了!大家见我的博客《PacketTracer 5.2的IPsec ×××实验说明(附PacketTracer 5.2下载地址)》和《Cisco PacketTracer 5.2模拟器的Easy ×××实验指南》)。
实验的IP规划如下:
PC0 PC1 :DHCP
获取
笔记本:laptop0和wuxian:DHCP获取
内部服务器:Web 192.168.1.253/24 TFTP 192.168.1.252/24
ISP
服务器:ISP DNS 202.103.96.112/24 ISP Web 202.103.96.120/24
总部 fa0/0:192.168.1.254/24 fa0/1:100.1.1.2/24
Internet
网:fa0/1 :100.1.1.1/24 fa 0/0:200.1.1.1/24
E1/0:210.1.1.1/24
(
移动笔记本wuxian所获得公网地址段)
E1/1:202.103.96.1/24
(ISP DNS和ISP Web服务器的网关)
分部:f0/0:200.1.1.2/24 fa 0/1:192.168.2.254/24
关于
PacketTracer5.2
中的服务器DNS和Web的配置以及PC和笔记本的配置和测试。如图说明:
双击服务器的图标,选择Desktop,在选择IP configuration设置IP地址:
![](https://i-blog.csdnimg.cn/blog_migrate/22fee973342c7ae895e263d37c86d9a9.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/3daf142bd0b0b904415f54d2f9fb0ae6.jpeg)
DNS
的配置:(我为ISP的Web服务器和总部的Web服务器做的DNS映射)
选择如图一的config,在选择DNS,name是域名,address是IP地址,做好就add添加。
![](https://i-blog.csdnimg.cn/blog_migrate/44f3c71a08a064f45191218ac67f1085.jpeg)
Web
服务器的配置,就点HTTP,自己可以修改Html。这我就不讲了,记得服务On。
PC和笔记的配置结构一样如图:
本次试验用到了,IP configuration、Web Brower,×××,command Prompt。
IP configuration
是IP的配置:可以DHCP也可静态。
Web Brower
是浏览器。×××是Easy ×××客户端。
command Prompt
就是CMD,用Ping的测试等。
实验基本连通性:
Internet
网配置:
enable
configure terminal
hostname Internet
line console 0
logg sy
exec-time 0 0
exit
no ip domain-lookup
interface fastethernet 0/1
ip add 100.1.1.1 255.255.255.0
no shut
exit
interface fastethernet 0/0
ip add 200.1.1.1 255.255.255.0
no shut
exit
interface ethernet 1/1
ip add 202.103.96.1 255.255.255.0
no shut
exit
interface ethernet 1/0
ip add 210.1.1.1 255.255.255.0
no shut
exit
ip dhcp excluded-address 210.1.1.1
ip dhcp pool wifi
network 210.1.1.0 255.255.255.0
default-router 210.1.1.1
dns-server 202.103.96.112
exit
总部配置:
enable
configure terminal
hostname Internet
line console 0
logg sy
exec-time 0 0
exit
no ip domain-lookup
interface fastethernet 0/1
ip add 100.1.1.2 255.255.255.0
no shut
ip nat outside
exit
interface fastethernet 0/0
ip add 192.168.1.254 255.255.255.0
no shut
ip nat inside
exit
ip route 0.0.0.0 0.0.0.0 100.1.1.1
ip dhcp excluded-address 192.168.1.254
ip dhcp pool zongbu
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
dns-server 202.103.96.112
exit
access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
ip nat inside source list 100 interface FastEthernet0/1 overload
ip nat inside source static tcp 192.168.1.253 80 100.1.1.2 80
分部配置:
enable
configure terminal
hostname fenbu
line console 0
logg sy
exec-time 0 0
exit
no ip domain-lookup
interface fastethernet 0/0
ip add 200.1.1.2 255.255.255.0
no shut
ip nat outside
exit
interface fastethernet 0/1
ip add 192.168.2.254 255.255.255.0
no shut
ip nat inside
exit
ip route 0.0.0.0 0.0.0.0 200.1.1.1
ip dhcp excluded-address 192.168.2.254
ip dhcp pool zongbu
network 192.168.2.0 255.255.255.0
default-router 192.168.2.254
dns-server 202.103.96.112
exit
access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 permit ip 192.168.2.0 0.0.0.255 any
ip nat inside source list 100 interface FastEthernet0/0 overload
![](https://i-blog.csdnimg.cn/blog_migrate/c7aaa64a484af9093cf289ccab2fc782.jpeg)
但由于×××没有做,外网和分部的PC是Ping不通内部的PC和服务器的。
现在进行×××配置:
总部:
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
crypto isakmp key tom address 200.1.1.2
crypto ipsec transform-set tim esp-3des esp-md5-hmac
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
crypto map tom 11 ipsec-isakmp
set peer 200.1.1.2
set transform-set tim
match address 101
interface FastEthernet0/1
crypto map tom
aaa new-model
aaa authentication login eza local
aaa authorization network ezo local
username tang password 123
ip local pool ez 192.168.3.1 192.168.3.100
crypto isakmp client configuration group myez
key 123
pool ez
crypto dynamic-map ezmap 10
set transform-set tim
reverse-route
crypto map tom client authentication list eza
crypto map tom isakmp authorization list ezo
crypto map tom client configuration address respond
crypto map tom 10 ipsec-isakmp dynamic ezmap
(Easy ×××是IPSEC ×××的两个阶段之间的2.5阶段,固阶段一喝阶段二都可以条用一样的策略)
分部的配置:
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
crypto isakmp key tom address 100.1.1.2
crypto ipsec transform-set tim esp-3des esp-md5-hmac
crypto map tom 10 ipsec-isakmp
set peer 100.1.1.2
set transform-set tim
match address 101
access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
interface FastEthernet0/0
crypto map tom
测试:
Ipsec ×××
就是分部的ping总部的PC,来检测连通性,Easy ×××的连接测试在《Cisco PacketTracer 5.2模拟器的Easy ×××实验指南》中有说明。
当×××都连通后,就能ping通内部的TFTP服务器了!
最后给大家留个问题,本实验中,我已经解决了,Ipsec ×××的×××和NAT上网问题。但我无线笔记Easy ×××接入总部后,只能访问用IP来访问内部Web服务器,而访问不了Internet的Web服务器。这是为什么,应该如何解决。
(附件中,有基本连通的PKT文件,和最终完成PKT,有兴趣的网友可以按我的配置做实验。)
转载于:https://blog.51cto.com/478239/197253