思科，*** 配置实现

最新推荐文章于 2022-02-12 14:20:06 发布

weixin_34255793

最新推荐文章于 2022-02-12 14:20:06 发布

阅读量199

点赞数

原文链接：http://blog.51cto.com/11332405/2069161

版权

实验名称：思科，*** 配置实现
实验拓扑图：

3.地址规划： R2 ： fa0/0 100.0.0.1/30 fa0/1 192.168.11.2 /24

R1 : g0/0 192.168.11.1/24 g0/1 172.16.20.254 /24 g0/2 172.16.10.254/24

R3 : fa0/0 100.0.0.2 /30 fa0/1 200.0.0.1 /30

R4 fa0/1 200.0.0.2/30 fa 0/0 10.10.33.254 /24

pc1： 172.16.20.1 255.255.255.0

gateway 172.16.20.254

pc2 : 172.16.10.1 255.255.255.0

gateway 172.16.10.254

server : 10.10.33.1 255.255.255.0

gateway 10.10.33.254

4. 实验目的： 1.使内网 172.16.20.0 网段通过PAT地址转换上外网

2. 使内网 172.16.10.0 配置***虚拟专用网，可以访问总部 web服务器

5.配置思路：首先配置边界设备R2，R3，R4 ,R1的ip地址，其次在配置各个终端ip地址，在R2配置静态路由使内网互通，再配置去往外网的默认路由，然后配置pat地址转换，使内网 172.16.20.0 网段可以上公网，最后配置***，使内网 172.16.10.0 网段，可以访问总公司的WEB服务器

6. 操作步骤：

# 首先配置R2 ,R1 R3 R4 的ip地址

# 配置R 2的ip地址

inteface fa0/0

ip address 100.0.0.1 255.255.255.0

no shutdown

interface fa0/1

ip address 192.168.11.2 255.255.255.0

no shutdown

# 配置 R1的ip 地址

interface g0/0

ip address 192.168.11.1 255.255.255.0

no shutdown

interface g0/1

ip address 172.16.20.254 255.255.255.0

no shutdown

interface g0/2

ip address 172.16.10.254 255.255.255.0

no shutdown

# 配置 R3的ip地址

interface fa0/0

ip address 100.0.0.2 255.255.255.0

no shutdown

interface fa0/1

ip address 200.0.0.1 255.255.255.0

no shutdown

#配置R4的ip地址

interface fa0/1

ip address 200.0.0.2 255.255.255.0

no shutdown

interface fa0/0

ip address 10.10.33.254 255.255.255.0

no shutdown

#接小来配置各个终端的ip地址

# 配置pc1的ip地址

ip address 172.16.20.1 255.255.255.0

gateway 172.16.20.254

配置pc2的ip地址

ip address 172.16.10.1 255.255.255.0

gateway 172.16.10. 254

#在Ｒ２上配置去往内网172.16.10.0 / 172.16.20.0 的静态路由，使内网互通

ip route 172.16.10.0 255.255.255.0 192.168.11.1

ip route 172.16.20.0 255.255.255.0 192.168.11.1

用ping 192.168.11.2 测试，如下图所示：

＃接下来在边界设备R1上配置PAT地址转化，以及默认路由，使内网 172.16.20.0转化出去，可以上网

interface f0/0

ip nat outside

interface f0/1

ip nat inside

access list 1 permit 192.168.20.0 0.0.0.255

ip nat inside source list 1 interface f0/0 overload

验证与测试 ping 200.0.0.1 ,如下图所示

　建立ipsec ｖｐｎ需要三个步骤

流量触发 ipsec

建立管理连接（阶段1）

建立数据连接（阶段2 ）

# 接下来在两个边界设备上配置***

#在Ｒ２上配置***

#配置　isakmp 策略

#　crypto isakmp policy 1 //建立加密策略 1

encryption 3des // 采用 3des 加密

hash sha // 哈希采用sha 验证，不是加密

authentication pre-share //采用欲共享密钥认证方式

group 2 //指定dh加密算法的长度，第二组的长度

crypto isakmp key tedu address 200.0.0.2　 //key后面是密码， address 后面是对端外网地址，

#配置 acl

access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255

#配置ipsec策略（转换集）

crypto ipsec transform-set yf-set esp-des des-sha-hmac //创建变换集，yf-set ,后面两项为加密传输的算法

# 配置加密映射集

crypto map yf-map 1 ipsec-isakmp //创建加密图 yf-map 序列号为1

set peer 200.0.0.1 //*** 隧道对端的ip地址

set transform-set yf-set

match address 100

interface f0/0

crypto map yf-map

# 在总公司R3配置***

#配置　isakmp 策略

#　crypto isakmp policy 1

encryption 3des

hash sha

authentication pre-share

group 2

crypto isakmp key tedu address 100.0.0.1

#配置 acl

access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255

#配置ipsec策略（转换集）

crypto ipsec transform-set yf-set esp-des des-sha-hmac //

# 配置加密映射集

crypto map yf-map 1 ipsec-isakmp

set peer 100.0.0.1

set transform-set yf-set

match address 100

interface f0/1

crypto map yf-map

验证与测试：在内网 pc2 上输入： http :// 10.10.33.1 　，如下图所示　

＃　show crypto isakmp sa //查看链接状态

#以上图示说明***建立成功

实验 2 ：配置内网 172.16.10.0 网段通过pat地址转换，可以上网，不能够访问web服务器

#access -list 2 perimit 172.16.10.0 0.0.0.255

ip nat inside source list 2 interface f0/0 overload

interface f0/0

ip nat outside

interface f0/1

ip nat inside

验证与测试：

　　　　　　　　　　ping 10.10.33.1 ,如下图所示

ping 100.0.0.2

#　以上图示说明测试成功

----------------------------------------------------------------------------------------------------------------------------------------------------

END

转载于:https://blog.51cto.com/11332405/2069161

weixin_34255793

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫