思科路由器Ez×××解决地址重叠测试
一.概述:
Ez×××,如果硬件客户端身后的地址,与Ez××× server身后的地址重叠,即使是client模式的单向访问也无法实现,需要配置静态NAT,为了不影响总部上公网,需要把静态NAT与动态PAT分开。
二.基本思路:
A.Ez××× Client模式:
----这种只是分支机构单向访问总部,在总部配置静态NAT,使得分支机构访问总部主机时认为是另外一个网段的地址
----为了能够使得总部配置静态NAT还能上公网,总部路由器的内网口和外网口作为ip nat enable的一对口,配置PAT;将loopback和外网口分别配置ip nat inside和ip nat outside,作为一对口,配置静态NAT,同时为了使流量能够到达loopback口,在内网口配置PBR,将需要×××的流量打到loopback口,流量在进行×××之前就进行静态NAT。
B.Ez××× network-extension或network-plus模式:
----这两种种方式,因为可以双方向互访,为了实现双方向互访,需要总部配置对内和对外的两条静态NAT,同时为了能把静态NAT和动态PAT上公网的流量分开,采用不同的NAT配置方法来实现。
三.测试拓扑:
四.基本配置:
A.总部Server路由器:
interface Ethernet0/0
ip address 10.1.1.2 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 10.1.1.1
B.总部Center路由器:
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
no shut
interface Ethernet0/1
ip address 202.100.1.1 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 202.100.1.10
C.Internet路由器:
interface Ethernet0/0
ip address 202.100.1.10 255.255.255.0
no shut
interface Ethernet0/1
ip address 202.100.2.10 255.255.255.0
no shut
D.Branch路由器:
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
no shut
interface Ethernet0/1
ip address 202.100.2.1 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 202.100.2.10
E.分支inside路由器:
interface Ethernet0/0
ip address 10.1.1.2 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 10.1.1.1
五.Ez×××配置:
A.Ez××× Server总部Center路由器:
①第一阶段:
crypto isakmp policy 10
authentication pre-share
en des
group 2
hash md5
crypto isakmp client configuration group ipsecgroup
key cisco
②第1.5阶段XAUTH配置:
aaa new-model
aaa authentication login noacs line none
line console 0
login authentication noacs
line aux 0
login authentication noacs
username xll password xll
aaa authentication login xauth-authen local
③第1.5阶段MODE-CFG配置:
ip local pool ippool 123.1.1.100 123.1.1.200
ip access-list extended split
permit ip 172.16.1.0 0.0.0.255 any
aaa authorization network mcfg-author local
crypto isakmp client configuration group ipsecgroup
pool ippool
acl split
④第2阶段转换集与动态map配置:
crypto ipsec transform-set ez***set esp-des esp-md5-hmac
crypto dynamic-map dymap 10
set transform-set ez***set
reverse-route
⑤第2阶段crypto map配置:
crypto map cry-map client authentication list xauth-authen
crypto map cry-map isakmp authorization list mcfg-author
crypto map cry-map client configuration address respond
crypto map cry-map 10 ipsec-isakmp dynamic dymap
interface E0/1
crypto map cry-map
B.Ez×××硬件客户端Branch路由器配置:
①Ez×××基本配置:
crypto ipsec client ez*** Ez-Client
connect manual
group ipsecgroup key cisco
mode client
peer 202.100.1.1
interface e0/0
crypto ipsec client ez*** Ez-Client inside
interface e0/1
crypto ipsec client ez*** Ez-Client outside
②手动触发Ez×××连接:
crypto ipsec client ez*** connect
crypto ipsec client ez*** xauth
Username: xll
Password: xll
Branch#
*Mar 1 00:05:21.047: %CRYPTO-6-EZ×××_CONNECTION_UP: (Client) User= Group=ipsecgroup Client_public_addr=202.100.2.1 Server_public_addr=202.100.1.1 Assigned_client_addr=123.1.1.100
Branch#show crypto ipsec client ez***
Easy ××× Remote Phase: 4
Tunnel name : Ez-Client
Inside interface list: Ethernet0/0
Outside interface: Ethernet0/1
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 123.1.1.100
Mask: 255.255.255.255
Save Password: Disallowed
Split Tunnel List: 1
Address : 172.16.1.0
Mask : 255.255.255.0
Protocol : 0x0
Source Port: 0
Dest Port : 0
Current Ez××× Peer: 202.100.1.1
----这时虽然×××能连接上去但是,无法连接内网
六.NAT及策略路由配置:
A.动态PAT配置:
①总部Center路由器配置:
interface Ethernet0/0
ip nat enable
interface Ethernet0/1
ip nat enable
ip access-list extended Internet
deny ip 10.1.1.0 0.0.0.255 123.1.1.0 0.0.0.255
permit ip 10.1.1.0 0.0.0.255 any
ip nat source list Internet interface Ethernet0/1 overload
测试:
Server#ping 202.100.1.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 202.100.1.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 48/105/216 ms
Server#
②分支branch路由器配置:
interface Ethernet0/0
ip nat enable
interface Ethernet0/1
ip nat enable
ip access-list extended Internet
deny ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
permit ip 10.1.1.0 0.0.0.255 any
ip nat source list Internet interface Ethernet0/1 overload
测试:
Inside#ping 202.100.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 202.100.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/60/120 ms
B.静态NAT及策略路由配置:
---只需在总部Center路由器上配置
interface Loopback0
ip address 1.1.1.1 255.255.255.252
ip nat inside
interface Ethernet0/1
ip nat outside
ip nat inside source static network 10.1.1.0 172.16.1.0 /24
ip access-list extended ×××
permit ip 10.1.1.0 0.0.0.255 123.1.1.0 0.0.0.255
route-map ××× permit 10
match ip address ×××
set interface Loopback0
interface Ethernet0/0
ip policy route-map ×××
C.测试:
clear crypto ipsec client ez***
crypto ipsec client ez*** connect
crypto ipsec client ez*** xauth
Username: xll
Password: xll
*Mar 1 00:09:33.803: %CRYPTO-6-EZ×××_CONNECTION_UP: (Client) User= Group=ipsecgroup Client_public_addr=202.100.2.1 Server_public_addr=202.100.1.1 Assigned_client_addr=123.1.1.101
Branch#
Inside#ping 172.16.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 196/265/392 ms
Inside#
七.后记:
----如果Ez×××采用的是网络拓展模式或者网络拓展加模式,因为两边都可以主动发起访问,配置的方式跟上面有所不同,跟L2L IPSEC ×××类似:
A.动态PAT配置:
①总部Center路由器配置:
interface Ethernet0/0
ip nat enable
interface Ethernet0/1
ip nat enable
ip access-list extended Internet
deny ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 10.1.1.0 0.0.0.255 any
ip nat source list Internet interface Ethernet0/1 overload
②分支branch路由器配置:
interface Ethernet0/0
ip nat enable
interface Ethernet0/1
ip nat enable
ip access-list extended Internet
deny ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
permit ip 10.1.1.0 0.0.0.255 any
ip nat source list Internet interface Ethernet0/1 overload
B.静态NAT及策略路由配置:
①总部Center路由器:
interface Loopback0
ip address 1.1.1.1 255.255.255.252
ip nat inside
interface Ethernet0/1
ip nat outside
ip nat inside source static network 10.1.1.0 172.16.1.0 /24
ip nat Outside source static network 10.1.1.0 192.168.1.0 /24
ip access-list extended ×××
permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255
route-map ××× permit 10
match ip address ×××
set interface Loopback0
interface Ethernet0/0
ip policy route-map ×××
②分支Branch路由器
interface Loopback0
ip address 192.168.1.1 255.255.255.0
crypto ipsec client ez*** Ez-Client inside
----这个将分支机构被NAT的网络通过反向路由注入的方式注入到总部Center路由器
----测试时发现如果Server不配置反向路由注入,即使配置了隧道分离,客户端还是把×××流量送到了互联网。
C.测试:
clear crypto ipsec client ez***
crypto ipsec client ez*** connect
crypto ipsec client ez*** xauth
Username: xll
Password: xll
Branch#
*Mar 1 00:11:53.395: %CRYPTO-6-EZ×××_CONNECTION_UP: (Client) User= Group=ipsecgroup Client_public_addr=202.100.2.1 Server_public_addr=202.100.1.1 NEM_Remote_Subnets=10.1.1.0/255.255.255.0 192.168.1.0/255.255.255.0
Inside#ping 172.16.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 192/258/348 ms
Inside#
----ping的同时在对方debug ip icmp,可以看到回包
Server#
*Mar 2 22:11:07.472: ICMP: echo reply sent, src 10.1.1.2, dst 192.168.1.2
*Mar 2 22:11:07.740: ICMP: echo reply sent, src 10.1.1.2, dst 192.168.1.2
*Mar 2 22:11:07.972: ICMP: echo reply sent, src 10.1.1.2, dst 192.168.1.2
*Mar 2 22:11:08.160: ICMP: echo reply sent, src 10.1.1.2, dst 192.168.1.2
*Mar 2 22:11:08.412: ICMP: echo reply sent, src 10.1.1.2, dst 192.168.1.2
反过来也能通:
Server#ping 192.168.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 176/248/372 ms
Inside#
*Mar 2 19:21:54.933: ICMP: echo reply sent, src 10.1.1.2, dst 172.16.1.2
*Mar 2 19:21:55.273: ICMP: echo reply sent, src 10.1.1.2, dst 172.16.1.2
*Mar 2 19:21:55.481: ICMP: echo reply sent, src 10.1.1.2, dst 172.16.1.2
*Mar 2 19:21:55.669: ICMP: echo reply sent, src 10.1.1.2, dst 172.16.1.2
*Mar 2 19:21:55.857: ICMP: echo reply sent, src 10.1.1.2, dst 172.16.1.2
转载于:https://blog.51cto.com/333234/1223708
思科路由器Ez×××解决地址重叠测试相关推荐
- 思科 接入点 本地转发_思科路由器配置 IPv6 和 OSPFv3 路由
一.前言 IPv6 最近是越来越火了,是时候该学习下 IPv6 路由的配置了. 本文将介绍思科路由器 IPv6 地址以及路由协议的配置方法. 本文纯属个人学习经验,希望可以帮到刚入门网络的新手,老司机 ...
- 思科三层交换机开启ipv6路由功能_思科路由器配置 IPv6 和 OSPFv3 路由
一.前言 IPv6 最近是越来越火了,是时候该学习下 IPv6 路由的配置了. 本文将介绍思科路由器 IPv6 地址以及路由协议的配置方法. 本文纯属个人学习经验,希望可以帮到刚入门网络的新手,老司机 ...
- 思科路由器地址转换配置
思科路由器地址转换 1.端口复用(PAT) 2.配置PAT 1.端口复用(PAT) 复用地址转换也称为端口地址转换(Port Address Translation,PAT),首先是一种动态地址转换. ...
- 思科路由器DHCP基础配置
思科路由器DHCP基础配置 实验要求:clinet向server请求IP地址 1.client配置 2.server配置 定义地址池 调试命令 问题:前面不是设置192.168.1.1到192.168 ...
- 思科路由器动态NAT配置
相关学习推荐: 优秀的网工都会NAThttps://blog.csdn.net/XMWS_IT/article/details/121508603?spm=1001.2014.3001.5502 微思 ...
- 思科bfd静态路由切换_思科路由器与华为路由器静态路由关联双向BFD配置
这里的思科路由器是C7609.按照官网文档,C7609配置BFD的大概步骤如下: 1.在接口下配置bfd和相关参数: interface gx/x bfd interval 400 min_rx 40 ...
- H3C、思科路由器简单配置
进入配置模式:sys ip address:这个基本是一样的. int gi1/1/1 ip address 192.168.1.2 30 undo shutdown 配置loopback: int ...
- 思科路由器学习初步基础--- CCNA入门
ip地址主机不能全为0或1 直连设备需要配置相同网段才能进行通讯 网段--路(一段ip地址的集合) 子网掩码中,连续的1表示网络位,0表示主机位,与ip相对应锁定 10兆以太网--ethernet 快 ...
- 思科 计算机网络 第6章测试考试 答案
测试 IPv4 报头字段中包含的哪个值是由每个接收到数据包的路由器进行扣减的? A. 区分服务 B. 片偏移量 C. 报头长度 D. 生存时间 Refer to curriculum topic: 6 ...
最新文章
- 大数据在高校的应用场景_制造业人工智能8大应用场景
- linux 进程相关
- 实验三进程调度模拟程序
- 北交大计算机学院教授,北京交通大学计算机与信息技术学院研究生导师:鲁凌云...
- android 拦截点击事件,Android事件拦截机制
- [TCP/IP] TCP关闭连接为什么四次挥手
- 【Linux网络编程】TCP编程
- Handler(2)
- Python变量 - Python零基础入门教程
- java动态数组的实现的_基于Java的动态数组分析与实现
- Ubuntu服务器宕机排查记录
- java根据身份证号判断当前年龄
- 原来这些手机技巧这么好用!以前还不知道,今天领教了
- 顺风车这么难搞,滴滴为何从不放弃?
- 萤石云视频Android SDK接口使用说明
- win10电脑如何远程连接云服务器?
- 拖拽牛逼,轻松实现一个自由拖拽的组件
- Matlab 中 rank() 函数的用法—求矩阵的秩
- 电气控制电路图——(1)识读
- 中国演绎太空生命传奇
热门文章
- 在sql中使用函数,遇到net.sf.jsqlparser.parser.ParseException异常
- “else if”是否比“switch()case”更快? [重复]
- 如何将零填充到字符串?
- java对象添加字段_99.9%的Java程序员都说不清的问题:JVM中的对象内存布局?
- 局域网ip冲突检测工具_软考网络工程师之局域网与城域网(无线局域网,网桥,VLAN)...
- 注册事件的两种方式(传统注册事件、方法监听注册事件)
- PrepareStatement对象(新增、删除、更新、查询、防止SQL注入)
- 实验5-9 使用函数输出水仙花数 (20 分)
- 实验2-2-3 计算存款利息 (10 分)
- Mac如何设置intellij idea中文