要求:

1. 研发小组可以通过×××访问总公司研发服务器,但不能访问internet
2. 分公司的其他客户端可以访问internet

实验topo构想:

终端配置:



ip地址配置:

R0配置:

Router>enable
Router#conf t
Router(config)#no ip domain lookup
Router(config)#line console 0
Router(config-line)#exec-timeout 0
Router(config-line)#^Z
Router#conf t
Router(config)#hostname R0
R0(config)#inter f0/0
R0(config-if)#no shutdown
R0(config-if)#ip add 176.16.10.254 255.255.255.0
R0(config-if)#inter f0/1
R0(config-if)#no shutdown
R0(config-if)#ip address 172.16.20.254 255.255.255.0
R0(config)#inter f1/0
R0(config-if)#no shut
R0(config-if)#ip add 192.168.1.1 255.255.255.252
R0(config-if)#^Z
测试连通性:
R0#ping 172.16.10.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.10.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 0/0/3 ms
R0#ping 172.16.20.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.20.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 0/0/0 ms

R1配置:

Router>en
Router#conf t
Router(config)#hostname R1
Router(config)#no ip domain lookup
R1(config)#line console 0
R1(config-line)#exec-timeout 0
R1(config-line)#exit
R1(config)#inter f0/1
R1(config-if)#no shutdown
R1(config-if)#ip add 192.168.1.2 255.255.255.252
R1(config-if)#inter f0/0
R1(config-if)#no shutdown
R1(config-if)#ip add 100.0.0.1 255.255.255.252
R1(config-if)#^Z
测试连通性:
R1#ping 192.168.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 0/0/0 ms

ISP配置:

Router>enable
Router#conf t
Router(config)#no ip domain lookup
Router(config)#hostname ISP
ISP(config)#line console 0
ISP(config-line)#exec-timeout 0
ISP(config-line)#^Z
ISP#conf t
ISP(config)#inter f0/1
ISP(config-if)#no shutdown
ISP(config-if)#ip address 100.0.0.2 255.255.255.252
ISP(config-if)#inter f0/0
ISP(config-if)#no shutdown
ISP(config-if)#ip add 200.0.0.1 255.255.255.252
ISP(config-if)#^Z
测试连通性:
ISP#ping 100.0.0.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.0.0.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 0/0/0 ms

R2配置:

Router>enable
Router#conf t
Router(config)#hostname R2
R2(config)#no ip domain lookup
R2(config)#line console 0
R2(config-line)#exec-timeout 0
R2(config-line)#exit
R2(config)#inter f0/1
R2(config-if)#no shutdown
R2(config-if)#ip add 200.0.0.2 255.255.255.252
R2(config-if)#inter f0/0
R2(config-if)#no shutdown
R2(config-if)#ip add 10.10.33.254 255.255.255.0
R2(config-if)#^Z
测试连通性:
R2#ping 200.0.0.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.0.0.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 0/0/0 ms

R2#ping 10.10.33.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.33.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 0/1/5 ms

配置路由:

R0#conf t
R0(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2
R0(config)#^Z

R1#conf t
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1
R1(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2

R2#conf t
R2(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.1

配置ISAKMP策略:

R1(config)#crypto isakmp policy 1
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#hash sha
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 2
R1(config-isakmp)#exit
R1(config)#crypto isakmp key hahui address 200.0.0.2

R2#conf t
R2(config)#crypto isakmp policy 1
R2(config-isakmp)#encryption 3des
R2(config-isakmp)#hash sha
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#group 2
R2(config)#crypto isakmp key hahui address 100.0.0.1

配置ACL:

R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255
R1(config)#ip nat inside source list 1 interface f0/0 overload
R1(config)#inter f0/0
R1(config-if)#ip nat outside
R1(config-if)#inter f0/1
R1(config-if)#ip nat inside
R1(config-if)#exit

R2(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255

配置 IPSec 策略(转换集)

R1(config)#crypto ipsec transform-set hh-set ah-sha-hmac esp-des

R2(config)#crypto ipsec transform-set hh-set ah-sha-hmac esp-des

配置加密映射集

R1(config)#crypto map hh-map 1 ipsec-isakmp
R1(config-crypto-map)#set peer 200.0.0.2
R1(config-crypto-map)#set transform-set hh-set
R1(config-crypto-map)#match address 100

R2(config)#crypto map hh-map 1 ipsec-isakmp
R2(config-crypto-map)#set peer 100.0.0.1
R2(config-crypto-map)#set transform-set hh-set
R2(config-crypto-map)#match address 100

将映射集应用到接口

R1(config)#inter f0/0
R1(config-if)#crypto map hh-map

R2(config)#inter f0/1
R2(config-if)#crypto map hh-map

查看第一阶段状态:
首先要用 流量触发IPSec

R1#show crypto isakmp sa

R2#show crypto isakmp sa

测试:

  • 研发小组访问不了internet,可以访问研发服务器。

其他客户端就可以访问internet,就没有权限访问研发服务器了。


开启debug ip nat 查看地址是否转换

在R2上开启debug ip packet,观察包的信息,看看地址是否转换

要求二:

1. 研发小组的流量走PAT,不走×××
2. 研发小组流量可以走PAT,也可以走×××

具体配置步骤:

1. 研发小组的流量走PAT,不走×××(意思就是可以上网,不能访问研发服务器)

在R1上添加配置:
R1(config)#access-list 1 permit 172.16.10.0 0.0.0.255
R1(config)#ip nat inside source list 1 interface f0/0 overload
测试:

查看地址转换

  1. 研发小组流量可以走PAT,也可以走×××(意思就是既可以上internet,还可以访问研发服务器:实际中,个人觉得很少有公司会这么做,因为要考虑到信息的安全性;通常就是只通过×××访问,如果还可以通过internet,那么***就可以在internet上轻松的截取信息)

R1添加配置:
要删除access-list 1 permit 172.16.10.0 0.0.0.255这条命令
R1(config)#no access-list 1 permit 172.16.10.0 0.0.0.255
R1(config)#access-list 110 deny ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255
R1(config)#access-list 110 permit ip any any
R1(config)#ip nat inside source list 110 interface f0/0 overload
测试:

转载于:https://blog.51cto.com/13555515/2069160

思科 IPSec ***配置2:相关推荐

  1. 思科ipsec配置及trouble shooting详解

    拓扑: R2模拟总部出口,R3模拟分支出口,R4,R5分别模拟对于内网设备 目的: 使用ipsec vpn打通两端内网 整体配置思路: 1.建立vpn的前提是隧道两端的公网ip网络可达 2.需要配置第 ...

  2. Cisco思科路由器配置IPsec,建立Site to Site项目实例

    项目背景: 最近做的一个项目中需要总公司和分公司之间内网互通: 总公司内网段:192.168.0.0/16 分公司内网段:172.16.0.0/16 考虑到专线的成本问题,最后公司决定使用IPsec. ...

  3. DCN-2655 gre隧道 vpn 嵌入IPSec配置:

    DCN-2655 gre隧道 vpn 嵌入IPSec配置: RT1配置: Ip route 183.203.10.128 255.255.255.252 183.203.10.2 Interface ...

  4. IPsec ××× 配置實例

    試驗top: ipsec ***的配置包括一下幾個步驟: 1.配置ike的協商 2.配置ipsec的協商 3.配置端口的應用 4ike的調試和排錯 按照步驟 建立ike 的協商策略和參數 R1< ...

  5. python备份cisco交换机_1.自动备份思科交换机配置

    自动备份思科交换机配置 2017-10-11 Python 宅必备 这个专题主要是一些日常用到的Python程序,不定期更新~~ 备份原理 首先读取txt文档中的ip地址 然后循环地址,通过是我提出函 ...

  6. 送你了,思科设备基础配置命令大全(一),赶紧收藏......

    [欢迎关注微信公众号:厦门微思网络] xmws-IT 思科设备基础配置命令大全(一) 思科设备管理基础命令 enable   从用户模式进入特权模式 configure terminal   进入配置 ...

  7. ASA IPSEC ×××配置

    一.IPSEC ××× (site to site) 第一步:在外部接口启用IKE协商 crypto isakmp enable outside 第二步:配置isakmp协商 策略 isakmp 策略 ...

  8. 路由删除命令_清除思科路由器配置信息的两种方法

    对于网络设备来说,清除思科路由器配置信息是防止黑客轻松地连接访问公司网络的最佳方法.在对Cisco路由器进行清理时,有两种不同的方法可供选择,而它们通常用于不同的方面: 一.知道路由器的密码,相关步骤 ...

  9. H3C 路由器的IPSEC ××× 配置

    H3C路由器的ipsec配置 两地做***的连接,一端是H3C的utm200设备,另外一端是H3C的AR18-21设备.现在网络环境如下: beijing是静态的地址(存在192.168.0.1.19 ...

最新文章

  1. python 批量resize性能比较
  2. java.lang.IllegalStateException: PathVariable/RequestParam annotation was empty on param 0.
  3. eplan可运行于linux系统吗,Eplan安装对电脑操作系统的要求
  4. 走在网页游戏开发的路上(十)
  5. action对象 java_struts2通过action返回json对象
  6. <matplotlib.lines.Line2D object at 0x7f68cfd5a2e8>终极解决办法
  7. c语言中文件的存储,急求如何将下列C语言程序数据存储到文件中?
  8. Windows系统如何关闭防火墙保姆式教程,超详细
  9. Android上的滤镜效果
  10. 软件工程基础课-个人项目-数独
  11. 大数据Spark(三十九):SparkStreaming实战案例四 窗口函数
  12. 打印机打开扫描提示使用该设备需要WIA驱动程序。请从安装CD或从制造商的网站安装此程序,然后重试--------
  13. 同花顺_知识_庄家技法_5出货技法
  14. 数据分析之噪声值处理
  15. 基于MATLAB成绩分析系统设计,基于MATLAB的班级成绩分析.doc
  16. springboot环境配置,yml格式,不同环境切换
  17. CSS字体font-family的正确选择方案
  18. docker 1.12 版本 docker swarm 集群
  19. MPLS Virtual Private Network
  20. Java不免费_Java 11已经不再完全免费,不要陷入Oracle的Java 11陷阱

热门文章

  1. android 如何拖动控件的实现
  2. android 打包jar包
  3. 【mDNS】本地DNS解析协议
  4. socket的系统调用
  5. arm-eabi-gcc: error trying to exec 'cc1': execvp: No such file or directory
  6. 基于空间相关的图像模板匹配及MATLAB实现
  7. inline内联的用法与作用
  8. 【LeetCode-面试算法经典-Java实现】【054-Spiral Matrix(螺旋矩阵)】
  9. 排球积分程序(三)——模型类的设计
  10. swift textView字数限制,textView点击完成隐藏键盘