CISCO路由器NAT-T与IPSec ×××配置实验【实践闯未来】
2024-04-03 03:43:09
CISCO路由器NAT-T与IPSec ×××配置实验
1.实验拓扑:
2.基本原理:
A.R1上配加密图时,address为12.1.1.2 IP;【不是内网的23.1.1.3哦!】
B.R3上配加密图时,address为12.1.1.1 IP;
C.内网到远程时,因路由器自动开启NAT-T功能,所有可以ping通;
D.远程到内网时,要做UDP端口映射,即R2上静态映射端口500和4500;
3.基本配置:
R1:
R1#sh run
hostname R1
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key cisco address 12.1.1.2
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map cisco 10 ipsec-isakmp
set peer 12.1.1.2
set transform-set myset
match address 100
!
interface Loopback0
ip address 1.1.1.1 255.255.255.0
!
interface FastEthernet0/0
ip address 12.1.1.1 255.255.255.0
duplex half
crypto map cisco
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
access-list 100 permit ip 1.1.1.0 0.0.0.255 3.3.3.0 0.0.0.255
!
!
R2:
R2#sh run
hostname R2
!
interface FastEthernet0/0
ip address 12.1.1.2 255.255.255.0
ip nat outside
duplex half
!
interface FastEthernet3/0
ip address 23.1.1.2 255.255.255.0
ip nat inside
duplex half
!
ip nat inside source list 101 interface FastEthernet0/0 overload
ip nat inside source static esp 23.1.1.3 interface FastEthernet0/0
ip nat inside source static udp 23.1.1.3 4500 interface FastEthernet0/0 4500
ip nat inside source static udp 23.1.1.3 500 interface FastEthernet0/0 500
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
ip route 3.3.3.0 255.255.255.0 FastEthernet3/0
access-list 101 permit ip 3.3.0.0 0.0.255.255 any
!
R3:
R3#sh run
hostname R3
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key cisco address 12.1.1.1
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map cisco 10 ipsec-isakmp
set peer 12.1.1.1
set transform-set myset
match address 100
!
interface Loopback0
ip address 3.3.3.3 255.255.255.0
!
interface FastEthernet3/0
ip address 23.1.1.3 255.255.255.0
duplex half
crypto map cisco
ip route 0.0.0.0 0.0.0.0 FastEthernet3/0
access-list 100 permit ip 3.3.3.0 0.0.0.255 1.1.1.0 0.0.0.255
!
4.实验测试结果
R3#ping 1.1.1.1 sou 3.3.3.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
Packet sent with a source address of 3.3.3.3
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 120/212/452 ms
R3#
R2#
*Mar 18 17:00:51.415: NAT: s=23.1.1.3->12.1.1.2, d=12.1.1.1 [160]
*Mar 18 17:00:51.763: NAT*: s=12.1.1.1, d=12.1.1.2->23.1.1.3 [167]
*Mar 18 17:00:51.903: NAT*: s=23.1.1.3->12.1.1.2, d=12.1.1.1 [163]
*Mar 18 17:00:51.975: NAT*: s=12.1.1.1, d=12.1.1.2->23.1.1.3 [170]
*Mar 18 17:00:52.111: NAT*: s=23.1.1.3->12.1.1.2, d=12.1.1.1 [166]
*Mar 18 17:00:52.159: NAT*: s=12.1.1.1, d=12.1.1.2->23.1.1.3 [173]
*Mar 18 17:00:52.231: NAT*: s=23.1.1.3->12.1.1.2, d=12.1.1.1 [169]
*Mar 18 17:00:52.319: NAT*: s=12.1.1.1, d=12.1.1.2->23.1.1.3 [176]
*Mar 18 17:00:52.343: NAT*: s=23.1.1.3->12.1.1.2, d=12.1.1.1 [172]
*Mar 18 17:00:52.407: NAT*: s=12.1.1.1, d=12.1.1.2->23.1.1.3 [179]
R1#ping 3.3.3.3 sou 1.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 60/144/220 ms
R1#
R2#
*Mar 18 17:01:37.355: NAT*: s=12.1.1.1, d=12.1.1.2->23.1.1.3 [182]
*Mar 18 17:01:37.547: NAT*: s=23.1.1.3->12.1.1.2, d=12.1.1.1 [175]
*Mar 18 17:01:37.667: NAT*: s=12.1.1.1, d=12.1.1.2->23.1.1.3 [185]
*Mar 18 17:01:37.787: NAT*: s=23.1.1.3->12.1.1.2, d=12.1.1.1 [178]
*Mar 18 17:01:37.835: NAT*: s=12.1.1.1, d=12.1.1.2->23.1.1.3 [188]
*Mar 18 17:01:37.875: NAT*: s=23.1.1.3->12.1.1.2, d=12.1.1.1 [181]
*Mar 18 17:01:37.947: NAT*: s=12.1.1.1, d=12.1.1.2->23.1.1.3 [191]
*Mar 18 17:01:37.955: NAT*: s=23.1.1.3->12.1.1.2, d=12.1.1.1 [184]
*Mar 18 17:01:37.999: NAT*: s=12.1.1.1, d=12.1.1.2->23.1.1.3 [194]
*Mar 18 17:01:38.015: NAT*: s=23.1.1.3->12.1.1.2, d=12.1.1.1 [187]
R2#sh ip nat translations
Pro Inside global Inside local Outside local Outside global
esp 12.1.1.2:0 23.1.1.3:0 --- ---
udp 12.1.1.2:500 23.1.1.3:500 --- ---
udp 12.1.1.2:4500 23.1.1.3:4500 --- ---
udp 12.1.1.2:4500 23.1.1.3:4500 12.1.1.1:4500 12.1.1.1:4500
R2#
5.实验总结:
A:NAT-T实施:
1.是否支持NAT-T;
2.是否有NAT/PAT;
3.是否应该实施NAT-T;
B:防火墙默认不开启 NAT-T穿透功能的哦!【配置时要注意咯!】
转载于:https://blog.51cto.com/fjxsunmit/140001
CISCO路由器NAT-T与IPSec ×××配置实验【实践闯未来】相关推荐
- Cisco Packet Tracer 多区域OSPF配置实验
Cisco Packet Tracer 多区域OSPF配置实验 实验内容 请你列出R1-R7路由器每个端口配置的IP地址和子网掩码 请用OSPF协议分区域进行路由设置 全部设置成功后,终端之间能够互相 ...
- cisco路由器NAT配置
要想对Cisco路由器的NAT进行配置,别的不说,最起码的,你要知道什么是NAT吧.其实NAT就是网络地址转换,是用于将一个地址域(如:专用Intranet)映射到另一个地址域的标准方法.它有作用及原 ...
- cisco ospf 隔离_思科网络工程师干货 | Cisco 路由器、交换机设备实战配置课程
大家好,前两天我分享的最新教程的目录受到了大家的一致好评,同时在留言区看到了许多朋友想要的课程,那么在接下来的日子,我会用心去搜集相关的课程并且分享给大家,如果你还需要哪些课程,同样欢迎你在这篇文章中 ...
- CISCO路由器连接ADSL之PPPoE配置
很多公司使用ADSL宽带线路作为备份线路,同时作为内部上网的分流线路.这有两种配置:一种是cisco路由器连接ethernet接口连接ADSL的modem:一种是在cisco路由器上安装ADSL WI ...
- cisco路由器NAT地址转换
很久没有接触NAT地址转换了,我记得有一次在笔试一个做系统集成的公司,其中有一道题就是NAT与PAT的区别.当时对网络基本就没概念,所以只是简单说了一个NAT是地址转换,PAT是端口转换之类的笼统的话 ...
- 思科Cisco路由器NAT的基础和应用场景
我们都知道思科路由器NAT是用来转换ip地址的,但是很少有人知道Cisco路由器是采用哪种转换方式,只认为它可以采用非注册ip地址转换成注册的公网地址.这其实是很片面的,NAT不仅可以把一个或者多个内 ...
- (中兴路由器)无中继的DHCP配置实验
中兴路由器无中继的DHCP配置 一.实验目的 二.实验内容 三.实验流程 四.查看和验证 五.实验总结 一.实验目的 1.掌握路由器中DHCP的基本原理和作用. 2.掌握中兴1800路由器中DHCP( ...
- 华为路由器:ACL介绍及配置实验
一.ACL介绍 ACL的定义 访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表.这些指令列表用来告诉路由器哪些数据包可以收.哪些数据包需要拒绝.至于数据包是 ...
- Cisco路由器进行ip限速的配置方法
[IT168技术]2811路由器来完成,本实验分两种方法来做,各有特点. 先看下路由器的flash: yourname#dir Directory of flash:/ 1 -rw- 25438028 ...
- cisco路由器的三种密码配置方法及解释
1,配置console口密码: 用户模式下输入下列命令: en (切换到特权模式) conf t (切换到配置模式) line console 0( 进行配置console口的配置) password ...
最新文章
- Spring集成spymemcached
- python limit_Python MySQL Limit
- c#实现分组服务器,单一无重复生成ID
- [转载]答《漫话ID》中的疑问:UniqueID和ClientID的来源
- oracle中DECODE与CASE的用法区别
- ntop linux,linux下安装ntop
- 对Leader的闲话
- python 将列表值赋予函数_python把空列表作为函数默认参数,可是有坑的
- Java Servlet request
- 少女风vue组件库制作全攻略~~
- function小记
- 《概率论与数理统计》之常见概率分布
- 32位,64位系统寻址空间及最大内存
- 【Java|Swing】关于JLabel换行
- 谈谈BPM工作流引擎
- android 标注 比例换算,android APP UI设计图标注、换算
- 环境和社会风险分类c类_六大环境风险分类
- 【Android Socket专题】: TCP通信服务器端app的demo的实现
- unity 远处模糊(贴图变模糊)
- idea最常用的快捷键,写代码快到飞起