收藏
下载资源

IPSec穿越NAT实验.doc

上传人:re****.1 文档编号:548064786 上传时间:2023-01-30 格式:DOC 页数:4 大小:163.50KB
返回 下载 相关 举报
IPSec穿越NAT实验.doc_第1页
第1页 / 共4页
IPSec穿越NAT实验.doc_第2页
第2页 / 共4页
IPSec穿越NAT实验.doc_第3页
第3页 / 共4页
IPSec穿越NAT实验.doc_第4页
第4页 / 共4页
亲,该文档总共4页,全部预览完了,如果喜欢就下载吧!
资源描述

《IPSec穿越NAT实验.doc》由会员分享,可在线阅读,更多相关《IPSec穿越NAT实验.doc(4页珍藏版)》请在金锄头文库上搜索。

1、 IPSec穿越NAT实验实验目的: 掌握IPSec基本配置,熟悉IPSec穿越NAT特性原理,并且验证拓扑说明.:R1,NAT,R2设备通过e0/0和e0/1口之间相互连接,如图,具体试验连接接口,按照自己的配置,中间NAT设备提供地址转换功能,保证了R1到R2设备的连通性,这里需要回顾NAT的配置,R1,R2设备上面各自有loopback0口接口地址配置如下:R1-E0/0:192.168.1.2/24,R1-Loopback0:10.1.1.1/24 NAT-E0/0-:192.168.1.1/24 NAT-E0/1:202.106.0.20/24 R2-E0/0:202.106.0.2

2、1/24 R2-Loopack0:10.1.2.1/24最终目标实现10.1.1.1到10.1.2.1地址的通信,保证使用了IPSEC加密,同时穿越了NAT设备并且注意这里的NAT是穿越运营商的NAT配置过程:1, 首先配置各个设备的ip地址,保证设备的直连通信,同时保证了nat设备能够正常工作,保证了从R1的192.168.1.2地址可以ping通R2设备的202.106.0.21地址,但是反过来ping却不通,这是属于正常,因为中间有nat设备,做到这个效果,也就是nat的配置。2, 进行IPSEC的具体配置,感兴趣的数据流使用访问控制列表配置,IKE阶段一的配置,IKE阶段二配置,还有I

3、PSEC策略配置,以及最后把策略运行在接口上面,第一部分:配置所有接口的ip地址保证直连接通信,然后配置NAT特性R1配置:Router(config)#hostname R1 设置R1设备主机名字R1(config)#interface Loopback0 建立loopback口,并且给接口配置地址R1(config-if)#ip address 10.1.1.1 255.255.255.0R1(config-if)#exitR1(config)#interface Ethernet0/0 给e0/0接口配置ip地址保证设备之间连通性R1(config-if)#ip address 192.

4、168.1.2 255.255.255.0R1(config-if)#no shutdownNAT设备配置:Router(config)#hostname NAT 设置NAT设备主机名字NAT (config)#interface Ethernet0/1 给e0/1接口配置ip地址保证与R2设备之间连通性NAT(config-if)#ip address 202.106.0.20 255.255.255.0NAT (config-if)#no shutdownNAT (config-if)#ip nat outside 设置nat外网接口NAT (config-if)#exitNAT (con

5、fig)#interface Ethernet0/0 给e0/0接口配置ip地址保证与R1设备之间连通性NAT (config-if)#ip address 192.168.1.1 255.255.255.0NAT (config-if)#no shutdownNAT (config-if)#ip nat inside 设置nat内网接口NAT (config)#access-list 10 permit 192.168.1.0 0.0.0.255 配置nat使用的访问控制列表NAT (config)#ip nat inside source list 10 interface Etherne

6、t0/1 overload 配置nat保证网连通R2配置:Router(config)#hostname R2 设置R2设备主机名字R2(config)#interface Loopback0 建立loopback口,并且给接口配置地址R2(config-if)#ip address 10.1.2.1 255.255.255.0R2(config)#interface Ethernet0/0 给E0/0接口配置地址保证与NAT设备之间的连通性R2(config-if)#ip address 202.106.0.21 255.255.255.0R2(config-if)#no shutdown第

7、二部分:1,首先在R1和R2上面配置访问控制列表定义感兴趣的数据流,也就是ipsec需要保护的数据流,镜像配置R1(config)#access-list 101 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255R2与 R1的互相为镜像R2(config)#access-list 101 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.2552, 配置R1与R2的IKE 的第一个阶段所需要的参数R1的配置:R1(config)#crypto isakmp policy 10 R1(config-isakmp)

8、#authentication pre-share R1(config-isakmp)#hash sha R1(config-isakmp)#group 5R1(config-isakmp)#encryption 3desR1(config-isakmp)#exitR1(config)#crypto isakmp key 0 cisco address 202.106.0.21R2配置R2(config)#crypto isakmp policy 10 R2(config-isakmp)#authentication pre-share R2(config-isakmp)#hash sha R

9、2(config-isakmp)#group 5R2(config-isakmp)#encryption 3desR2(config-isakmp)#exitR2(config)#crypto isakmp key 0 cisco address 0.0.0.0 0.0.0.0 这里意思是允许任何人给我建立ike的peer关系3, 配置IPSec阶段2里面需要的传输集R1(config)#crypto ipsec transform-set r1 esp-3des esp-md5-hmacR2配置和R1的配置是一样里面的参数必须一致R2(config)#crypto ipsec transfo

10、rm-set r1 esp-3des esp-md5-hmac4, 建立IPSEC策略,捆绑访问控制列表IKE PEER,以及传输集R1的配置:R1(config)#crypto map r1_map 10 ipsec-isakmp % NOTE: This new crypto map will remain disabled until a peerR1(config-crypto-map)#match address 101R1(config-crypto-map)#set peer 202.106.0.21 R1(config-crypto-map)#set transform-set

11、 r1R1(config-crypto-map)#exitR2配置:R2(config)#crypto dynamic-map r2_dymap 10R2(config-crypto-map)#match address 101 R2(config-crypto-map)#set transform-set r2 R2(config-crypto-map)#exitR2(config)#crypto map r2_map 10 ipsec-isakmp dynamic r2_dymap discover这里需要用动态的map表,因为是一端ip地址是动态的,需要自动发现功能5, 应用策略到接口上

12、面R1配置:R1(config)#interface Ethernet0/0R1(config-if)#crypto map r1_mapR2配置:R2(config)#interface Ethernet0/0R2(config-if)#crypto map r2_map最后验证:在R1设备上面扩展PING,R1#ping 10.1.2.1 source 10.1.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.2.1, timeout is 2 seconds:Packet sent with

13、a source address of 10.1.1.1 !Success rate is 100 percent (5/5), round-trip min/avg/max = 20/43/96 ms这种IPSEC的建立过程必须有R1触发,可以使用命令clear crypto sa和clear crypto isakmp清空所有设备的sa,然后从R2扩展PING发现不可以建立IPSEC可以在 中间的NAT设备上面使用命令看NAT的会话表 NAT#sh ip nat translations Pro Inside global Inside local Outside local Outside globaludp 202.106.0.20:500 192.168.1.2:500 202.106.0.21:500 202.106.0.21:500udp 202.106.0.20:4500 192.168.1.2:4500 202.106.0.21:4500 202.106.0.21:4500发现nat穿越使用了4500端口。2

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号