采用动态加密映射的路由器IPSec V.P.N(基于思科)
创新互联建站专注为客户提供全方位的互联网综合服务,包含不限于网站设计、成都做网站、边坝网络推广、小程序定制开发、边坝网络营销、边坝企业策划、边坝品牌公关、搜索引擎seo、人物专访、企业宣传片、企业代运营等,从售前售中售后,我们都将竭诚为您服务,您的肯定,是我们最大的嘉奖;创新互联建站为所有大学生创业者提供边坝建站搭建服务,24小时服务热线:028-86922220,官方网址:www.cdcxhl.com
R1为总部,R2为运营商,R3为分支机构
此案例中R1使用动态映射,R3使用静态映射,R3的f0/0使用dhcp获得动态IP地址,因此总部的管理员是不知道分支机构的IP地址的,此时就没有办法在静态加密映射中指定对方的IP地址和Crypto ACL。这就要用到动态加密映射,在静态加密映射中所需的参数将在动态加密映射中动态的填充,这是需要在分部的路由器上配置静态的加密映射,让分部发起协商。但是动态加密映射是无法应用到接口上的。所以还要创建静态的加密映射并引用动态加密映射,再把这个静态加密映射应用的接口上。
一:基本设置
R1的基本配置
R1#conf t
R1(config)#int f0/0
R1(config-if)#ip add 200.0.0.1 255.255.255.0
R1(config-if)#no shut
R1(config)#int f0/1
R1(config-if)#ip add 192.168.1.254 255.255.255.0
R1(config-if)#no shut
R2的基本配置
R2#conf t
R2(config)#int f0/0
R2(config-if)#ip add 200.0.0.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#int f0/1
R2(config-if)#ip add 100.0.0.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#exit
R2(config)#ip dhcp pool cisco
R2(dhcp-config)#network 193.1.1.0 255.255.255.0
R3的基本配置
R3#conf t
R3(config)#int f0/0
R3(config-if)#ip add dhcp
R3(config-if)#no shut
R3(config-if)#int f0/1
R3(config-if)#ip add 192.168.2.254 255.255.255.0
R3(config-if)#no shut
R3(config-if)#exit
R3#show ip int br
二:路由的设置
R1的路由
R1(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2
R3的路由
R3(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2
三:×××的设置
R1的×××
R1(config)#crypto isakmp enable
R1(config)#crypto isakmp identity address
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#encryption aes 128
R1(config-isakmp)#hash md5
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 2
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 6 cisco123 address 0.0.0.0 0.0.0.0 no-xauth
R1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
R1(config)#crypto ipsec transform-set cisco-set esp-aes esp-md5-hmac
R1(cfg-crypto-trans)#exit
R1(config)#crypto dynamic-map cisco-dymap 10
R1(config-crypto-map)#set transform-set cisco-set
R1(config-crypto-map)#match address 101
R1(config-crypto-map)#exit
R1(config)#crypto map cisco-stmap 65000 ipsec-isakmp dynamic cisco-dymap discover
R1(config)#access-list 102 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 any
R1(config)#ip nat inside source list 102 interface f0/0 overload
R1(config)#int f0/0
R1(config-if)#ip nat outside
R1(config-if)#crypto map cisco-stmap
R1(config-if)#int f0/1
R1(config-if)#ip nat inside
R1(config-if)#
R3的×××
R3#conf t
R3(config)#crypto isakmp enable
R3(config)#crypto isakmp identity address
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#encryption aes 128
R3(config-isakmp)#hash md5
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#group 2
R3(config-isakmp)#exit
R3(config)#crypto isakmp key 6 cisco123 address 200.0.0.1 no-xauth
R3(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
R3(config)#crypto ipsec transform-set cisco-set esp-aes esp-md5-hmac
R3(cfg-crypto-trans)#exit
R3(config)#crypto map cisco-map 10 ipsec-isakmp
R3(config-crypto-map)#set peer 200.0.0.1
R3(config-crypto-map)#set transform-set cisco-set
R3(config-crypto-map)#match address 101
R3(config-crypto-map)#exit
R3(config)#access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
R3(config)#access-list 102 permit ip 192.168.2.0 0.0.0.255 any
R3(config)#ip nat inside source list 102 interface f0/0 overload
R3(config)#int f0/0
R3(config-if)#ip nat outside
R3(config-if)#crypto map cisco-map
R3(config-if)#int f0/1
R3(config-if)#ip nat inside
测试
要用pc2测到pc1的连通性,不能先用pc1去ping pc2,等测通后才能用pc1 ping通pc2
本案例并没有配置R2的路由,也没有配置R1和R3的NAT,因此pc1和pc3都不能和R2(运营商)通信
新闻名称:采用动态加密映射的路由器IPSecV.P.NR1为总部,R2为运营商
标题URL:http://lswzjz.com/article/jieoic.html