【实验】***及NAT应用-思科

实验名称：×××及NAT应用

---

实验需求：

一、通过×××实现PC1访问Server1，但是无法访问互联网（ISP）
二、通过NAT实现PC0访问互联网（ISP），但是无法访问Server1
三、实现PC1即可以访问互联网（ISP），又可以访问Server1

---

IP地址规划：

---

---

配置思路：

---

一、通过×××实现PC1访问Server1，但是无法访问互联网（ISP）
1配置ISAKMP策略
2配置ACL控制条目
3配置IPSec策略（转换及）
4配置加密映射集
5将映射集应用在指定接口

---

二、通过NAT实现PC0访问互联网（ISP），但是无法访问Server1
1配置ACL控制条目
2将ACL控制条目应用在指定接口
3定义NAT出向/入向接口

---

三、实现PC1即可以访问互联网（ISP），又可以访问Server1
1配置ACL控制条目
2将ACL控制条目应用在指定接口

---

网络环境搭建：

---

Router1(分公司边界路由器)
IP配置：

---

路由配置：

---

Router4（分公司内网路由器）
IP配置：

---

路由配置:

---

ISP路由器配置
IP配置：

---

Router3（总公司边界路由器）
IP配置：

---

路由配置：

---

实验步骤：

---

一、通过×××实现PC1访问Server1，但是无法访问互联网（ISP）

Router1

---

配置ISAKMP策略

---

crypto isakmp policy 1 //创建加密协议isakmp策略为1

encryption 3des //指定加密算法为 3des

hash sha //设置哈希算法为sha

authentication pre-share //采用预共享密钥方式

group 2 //指定DH算法的密钥长度为组2

crypto isakmp key tedu address 200.0.0.1 
//设置加密协议 isakmp 密钥为tedu指定地址为200.0.0.1

---

配置ACL

---

access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255 
//设置acl 100 允许172.16.100.0网段访问10.10.33.0 网段

---

配置IPSec策略（转换集）
crypto ipsec transform-set yf-set ah-sha-hmac esp-des 
//设置加密ipsec策略转换集名称为yf-set支持ah-sha-hmac

---

配置加密映射集

---

crypto map yf-map 1 ipsec-isakmp 
//设置映射集 yf-map 1 协议为 ipsec-isakmp
set peer 200.0.0.1 //与200.0.0.1端口建立邻居关系
set transform-set yf-set //添加ipsec策略转换集 yf-set
match address 100 //匹配序列号为100的ACL访问条目

---

将映射集应用在接口

---

interface f0/1 //进入接口f0/1
crypto map yf-map //设置映射集 yf-map

---

Router3

---

配置ISAKMP策略

---

crypto isakmp policy 1 //设置加密协议isakmp策略为1

encryption 3des //设置加密算法为 3des

hash sha //设置哈希算法为sha

authentication pre-share //采用预共享密钥方式

group 2 //指定DH算法的密钥长度组2

crypto isakmp key tedu address 100.0.0.1 
//设置加密协议 isakmp 密钥为tedu指定地址为100.0.0.1 （密钥必须相同）

---

配置ACL

---

access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255 
//设置acl 100 允许10.10.33.0网段访问172.16.10.0 网段

---

配置IPSec策略（转换集）

---

crypto ipsec transform-set yf-set ah-sha-hmac esp-des 
//设置加密ipsec策略转换集名称为yf-set支持ah-sha-hmac（加密和认证算法要与前者一致）

---

配置加密映射集

---

crypto map yf-map 1 ipsec-isakmp 
//设置映射集 yf-map 1 协议为 ipsec-isakmp

set peer 100.0.0.1 //与100.0.0.1端口建立邻居关系

set transform-set yf-set //添加ipsec策略转换集 yf-set

match address 100 //匹配acl 100

---

将映射集应用在接口

---

interface f0/0 //进入接口f0/0

crypto map yf-map //设置映射集 yf-map

---

二、通过NAT实现PC0访问互联网（ISP），但是无法访问Server1

---

access-list 1 permit 172.16.20.0 0.0.0.255 //创建ACL条目
ip nat inside source list 1 interface f0/1 overload //将ACL条目应用在F0/1接口上
int f0/1 //进入接口f0/1
ip nat outside //将其定义为出向接口
int f0/0 //进入接口f0/0
ip nat inside //将其定义为入向接口

---

三、实现PC1即可以访问互联网（ISP），又可以访问Server1

---

access-list 110 deny ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255
//创建1条ACL条目，此条目为扩展ACL（序列号100-199范围），拒绝源IP网络段为172.16.10.0通过任何IP网络协议访问目的网络段为10.10.33.0

access-list 110 permit ip any any
//创建1条ACL条目，此条目为扩展ACL（序列号100-199范围），允许其余任何网络段之间进行互通。
ip nat inside source list 110 interface FastEthernet0/1 overload
//将ACL条目110应用在F0/1接口上

---

验证

---

一、通过×××实现PC1访问Server1，但是无法访问互联网（ISP）
PC1->Server1

---

二、通过NAT实现PC0访问互联网（ISP），但是无法访问Server1
PC0->ISP

---

三、实现PC1即可以访问互联网（ISP），又可以访问Server1
PC1->ISP

转载于:https://blog.51cto.com/10085711/2069153