思科设备路由器间IPsec ×××实现私网之间通信实战
1. 实验拓扑:
使用GNS3(版本号0.8.6)+c2691-advsecurityk9-mz.124-11.T2.
2. 实验需求:
a) C1可以和C2通信,实现跨互联网私网通信
b) C1、C2可以和R2的环回口loopback0通信,实现C1、C2及可以私网通信也可以上公网
3. 实验步骤:
a) IP地址规划
|
R1 |
f0/0 |
|
R3 |
f0/0 |
|
|
f0/1 |
|
f0/1 |
|
||
|
R2 |
f0/0 |
|
C1 |
|
|
|
f0/1 |
|
||||
|
Loopback0 |
|
C2 |
|
b) 配置脚本如下
R1
R1#conf t
R1(config)#int f0/0
R1(config-if)#ip add 12.0.0.1 255.255.255.0
R1(config-if)#no shut
R1(config)#int f0/1
R1(config-if)#ip add 172.16.10.1 255.255.255.0
R1(config-if)#no shut
R2
R1#conf t
R2(config)#int f0/0
R2(config-if)#ip add 12.0.0.2 255.255.255.0
R2(config-if)#no shut
R2(config)#int f0/1
R2(config-if)#ip add 23.0.0.2 255.255.255.0
R2(config-if)#no shut
R2(config)#int loo 0
R2(config-if)#ip add 2.2.2.2 255.255.255.0
R2(config-if)#no shut
R3
R3#conf t
R3(config)#int f0/0
R3(config-if)#ip add 23.0.0.3 255.255.255.0
R3(config-if)#no shut
R3(config)#int f0/1
R3(config-if)#ip add 172.16.30.1 255.255.255.0
R3(config-if)#no shut
C1
C2
R1
R1(config)#ip route 0.0.0.0 0.0.0.0 12.0.0.2 //公司出口配置默认路由
R3
R3(config)#ip route 0.0.0.0 0.0.0.0 23.0.0.2
---------------------------------以上是IP地址和路由配置----------------------------------
R1
R1(config)#crypto isakmp policy 1 //配置安全策略,数字表示优先级
R1(config-isakmp)#encryption 3des //告诉对端使用的对称加密算法
R1(config-isakmp)#hash md5 //告诉对端使用的hash算法
R1(config-isakmp)#authentication pre-share //告诉对端使用的认证算法
R1(config-isakmp)#group 5 //告诉对端使用的DH组
R1(config-isakmp)#lifetime 1200 //生存周期,有默认可以不设置
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 6 123 address 23.0.0.3 //预共享密码设置为123,地址为对端R3的地址
R1(config)#crypto ipsec transform-set bset esp-aes esp-sha-hmac //配置传输集bset,设置对数据的加密方式
R1(cfg-crypto-trans)#exit
R1(config)#access-list 110 permit ip 172.16.10.0 0.0.0.255 172.16.30.00.0.0.255 //定义感兴趣的流量
R1(config)#crypto map bmap 1 ipsec-isakmp //定义cryptomap调用感兴趣流量并且设置传输集
R1(config-crypto-map)#set peer 23.0.0.3 //指定对端IP
R1(config-crypto-map)#set transform-set bset //调用传输集bset
R1(config-crypto-map)#match address 110 //调用列表110
R1(config-crypto-map)#int f0/0
R1(config-if)#crypto map bmap //将crypto map 应用到接口
R3
R3(config)#crypto isakmp policy 1
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#hash md5
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#group 5
R3(config-isakmp)#lifetime 1200
R3(config-isakmp)#exit
(config)#crypto isakmp key 6 123 address 12.0.0.1
R3(config)#crypto ipsec transform-set bset esp-aes esp-sha-hmac
R3(cfg-crypto-trans)#exit
R3(config)#access-list 110 permit ip 172.16.30.00.0.0.255 172.16.10.0 0.0.0.255
R3(config)#crypto map bmap 1 ipsec-isakmp
R3(config-crypto-map)#set peer 12.0.0.1
R3(config-crypto-map)#set transform-set bset
R3(config-crypto-map)#match address 110
R3(config-crypto-map)#int f0/0
R3(config-if)#crypto map bmap
测试
PC1
PC2
---------------------------以上是ipsec×××配置----------------------------
R1(config-crypto-map)#int f0/0
R1(config-if)#ip nat outside
R1(config-if)#int f0/1
R1(config-if)#ip nat inside
R1(config-if)#exit
R1(config)#access-list 120 deny ip 172.16.10.0 0.0.0.255 172.16.30.00.0.0.255
R1(config)#access-list 120 permit ip 172.16.10.0 0.0.0.255 any
R1(config)#ip nat inside source list 120 int f0/0 overload
R3(config-crypto-map)#int f0/0
R3(config-if)#ip nat outside
R3(config-if)#int f0/1
R3(config-if)#ip nat inside
R3(config)#access-list 120 deny ip 172.16.30.0 0.0.0.255 172.16.10.00.0.0.255
R3(config)#access-list 120 permit ip 172.16.30.0 0.0.0.255 any
R3(config)#ip nat inside source list 120 int f0/0 overload
--------------------------以上是PAT外网口复用配置---------------------------------
4. 验证结果:
a) C1和C2通信,和R2环回口通信
b) C2和R2环回口通信
转载于:https://blog.51cto.com/bozai666/1651152
思科设备路由器间IPsec ×××实现私网之间通信实战相关推荐
- 【高级】思科设备实现城域网ISIS+BGP+MPLS ***多域互通实战
实验拓扑: GNS3 0.8.6 + c3725-adventerprisek9-mz.124-15.T5.image 实验要求: 1. IGP使用ISIS协议,用来承载城域网的直连和环回口路由. ...
- 玩转华为ENSP模拟器系列 | 配置设备使用SNMPv3本地用户与网管通信
素材来源:华为路由器配置指南 一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_ensp实验大全 目 ...
- 公网与私网的区别 ?如何进行通信?(NAT技术,端口映射技术,)
目录 一, 公网与私网介绍两者间的联系 二,公网ip与私有ip的区别 三,私有网络如何访问公有网络? 1,端口映射技术 2,nat技术 (网络地址转换 ) 五,VPN技术 六,总结概述 一, 公网与私 ...
- 网络 网络层 | IP协议、网段划分、公网与私网、路由选择
网络层是用信子网的边界,是通信设备的协议最高层.其功能是负责地址管理与路由选择(为每一条网络中的数据根据想去的地方选择合适的路径),典型的协议是IP协议,典型的设备是路由器 IP协议 IP协议的工作类 ...
- 为什么百度查到的ip地址和ipconfig查到的不同;详解公网Ip和私网ip; 网络分类ABC类;
文章目录 1.百度查到的ip和ipconfig查到的不同 1.1引出问题 1.2不一样的原因 2.IP地址分类 2.1IP类别 2.1 Public IP和Private IP 3.总结 3.1整理上 ...
- 【网络】为什么百度查到的ip和ipconfig查到的不一样;详解公网Ip和私网ip;详解网络分类ABC;
原文地址 IP可以分为Public IP 和 Private IP,出现这种规划的原因在于IPv4所能表示的IP太少而电脑太多以至于不够用,然而只有Public IP才能直接连接上网络,所以对于那些公 ...
- 网络协议 一 路由的概念、简述数据包的传输过程、网络常见概念、公网、私网、NAT(私网转公网)
目录 路由 实践1 - 让4台主机之间可以互相通信 实践2 - 让4台主机之间可以互相通信 数据包的传输过程(简) 第一个包的丢失 网络 (Network).互联网 (internet).因特网 (I ...
- 为什么百度查到的ip和ipconfig查到的不一样;详解公网Ip和私网ip;详解网络分类ABC;
IP可以分为Public IP 和 Private IP,出现这种规划的原因在于IPv4所能表示的IP太少而电脑太多以至于不够用,然而只有Public IP才能直接连接上网络,所以对于那些公司,学校, ...
- 详解公网Ip和私网ip
为什么百度查到的ip和ipconfig查到的不一样:详解公网Ip和私网ip:详解网络分类ABC: 原创 逃离地球的小小呆 最后发布于2018-01-30 22:52:47 阅读数 38183 收藏 发 ...
最新文章
- 听说做前后端的都是这个体会? | 每日趣闻
- 学python怎么教_学神IT教你Python应该怎么学
- 阿里和浙大的“AI 训练师助手”是这样炼成的
- 重新复习一下JDK14的9大重磅特性
- 【CSS3】CSS——链接
- 计算机显卡是指什么时候,电脑哪个是显卡
- linux中mysql不显示中文_linux中解决mysql中文乱码方法
- vue--配套axios用法
- Binary Numbers(HDU1390)
- _RecordsetPtr
- 017—mysql问答
- 阿里巴巴最新区块链专利申请文件解读
- 伍斯特理工学院计算机研究生,伍斯特理工学院计算机工程硕士排名第52(2020年TFE Times排名)...
- 计算机管理员绩效指标,网络管理员绩效kpi考核标准..doc
- 打开outlook显示服务器内存不足,outlook无法启动,总说计算机内存不足或磁盘已满,是怎么回事?...
- Linux利用脏牛漏洞提权
- 蓝色大气的交替导航菜单
- 全球 AI 人工智能报告 —— 来自乌镇互联网大会
- 单层MoS2和WS2晶体/Zn(Ⅱ)-PDA诱导合成二维连续稳定ZIF-8膜/新型大孔的二维结晶聚酰亚胺COFs(PI-COFs)
- 存储新纪元:在DNA存储海量信息,商业化才是硬道理