温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

采用动态加密映射的路由器IPSec V.P.N R1为总部,R2为运营商

发布时间:2020-07-19 06:59:10 来源:网络 阅读:324 作者:wjq19781124 栏目:安全技术

采用动态加密映射的路由器IPSec V.P.N(基于思科)

采用动态加密映射的路由器IPSec V.P.N      R1为总部,R2为运营商

R1为总部,R2为运营商,R3为分支机构

此案例中R1使用动态映射,R3使用静态映射,R3的f0/0使用dhcp获得动态IP地址,因此总部的管理员是不知道分支机构的IP地址的,此时就没有办法在静态加密映射中指定对方的IP地址和Crypto ACL。这就要用到动态加密映射,在静态加密映射中所需的参数将在动态加密映射中动态的填充,这是需要在分部的路由器上配置静态的加密映射,让分部发起协商。但是动态加密映射是无法应用到接口上的。所以还要创建静态的加密映射并引用动态加密映射,再把这个静态加密映射应用的接口上。

一:基本设置

R1的基本配置

R1#conf t
R1(config)#int f0/0
R1(config-if)#ip add 200.0.0.1 255.255.255.0
R1(config-if)#no shut
R1(config)#int f0/1
R1(config-if)#ip add 192.168.1.254 255.255.255.0
R1(config-if)#no shut

R2的基本配置

R2#conf t
R2(config)#int f0/0
R2(config-if)#ip add 200.0.0.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#int f0/1
R2(config-if)#ip add 100.0.0.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#exit

R2(config)#ip dhcp pool cisco
R2(dhcp-config)#network 193.1.1.0 255.255.255.0

R3的基本配置

R3#conf t
R3(config)#int f0/0
R3(config-if)#ip add dhcp
R3(config-if)#no shut
R3(config-if)#int f0/1
R3(config-if)#ip add 192.168.2.254 255.255.255.0
R3(config-if)#no shut
R3(config-if)#exit
R3#show ip int br

二:路由的设置

R1的路由
R1(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2

R3的路由
R3(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2

三:×××的设置

R1的×××

R1(config)#crypto isakmp enable
R1(config)#crypto isakmp identity address
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#encryption aes 128
R1(config-isakmp)#hash md5
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 2
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 6 cisco123 address 0.0.0.0 0.0.0.0 no-xauth

R1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
R1(config)#crypto ipsec transform-set cisco-set esp-aes esp-md5-hmac
R1(cfg-crypto-trans)#exit
R1(config)#crypto dynamic-map cisco-dymap 10
R1(config-crypto-map)#set transform-set cisco-set
R1(config-crypto-map)#match address 101
R1(config-crypto-map)#exit
R1(config)#crypto map cisco-stmap 65000 ipsec-isakmp dynamic cisco-dymap discover

R1(config)#access-list 102 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 any
R1(config)#ip nat inside source list 102 interface f0/0 overload
R1(config)#int f0/0
R1(config-if)#ip nat outside
R1(config-if)#crypto map cisco-stmap
R1(config-if)#int f0/1
R1(config-if)#ip nat inside
R1(config-if)#

R3的×××

R3#conf t
R3(config)#crypto isakmp enable
R3(config)#crypto isakmp identity address
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#encryption aes 128
R3(config-isakmp)#hash md5
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#group 2
R3(config-isakmp)#exit
R3(config)#crypto isakmp key 6 cisco123 address 200.0.0.1 no-xauth

R3(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
R3(config)#crypto ipsec transform-set cisco-set esp-aes esp-md5-hmac
R3(cfg-crypto-trans)#exit
R3(config)#crypto map cisco-map 10 ipsec-isakmp
R3(config-crypto-map)#set peer 200.0.0.1
R3(config-crypto-map)#set transform-set cisco-set
R3(config-crypto-map)#match address 101
R3(config-crypto-map)#exit

R3(config)#access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
R3(config)#access-list 102 permit ip 192.168.2.0 0.0.0.255 any
R3(config)#ip nat inside source list 102 interface f0/0 overload
R3(config)#int f0/0
R3(config-if)#ip nat outside
R3(config-if)#crypto map cisco-map
R3(config-if)#int f0/1
R3(config-if)#ip nat inside

测试
要用pc2测到pc1的连通性,不能先用pc1去ping pc2,等测通后才能用pc1 ping通pc2
本案例并没有配置R2的路由,也没有配置R1和R3的NAT,因此pc1和pc3都不能和R2(运营商)通信

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI