实验名称:×××及NAT应用
实验需求:
一、通过×××实现PC1访问Server1,但是无法访问互联网(ISP)
二、通过NAT实现PC0访问互联网(ISP),但是无法访问Server1
三、实现PC1即可以访问互联网(ISP),又可以访问Server1
IP地址规划:
配置思路:
一、通过×××实现PC1访问Server1,但是无法访问互联网(ISP)
1配置ISAKMP策略
2配置ACL控制条目
3配置IPSec策略(转换及)
4配置加密映射集
5将映射集应用在指定接口
二、通过NAT实现PC0访问互联网(ISP),但是无法访问Server1
1配置ACL控制条目
2将ACL控制条目应用在指定接口
3定义NAT出向/入向接口
三、实现PC1即可以访问互联网(ISP),又可以访问Server1
1配置ACL控制条目
2将ACL控制条目应用在指定接口
网络环境搭建:
Router1(分公司边界路由器)
IP配置:
路由配置:
Router4(分公司内网路由器)
IP配置:
路由配置:
ISP路由器配置
IP配置:
Router3(总公司边界路由器)
IP配置:
路由配置:
实验步骤:
一、通过×××实现PC1访问Server1,但是无法访问互联网(ISP)
Router1
配置ISAKMP策略
crypto isakmp policy 1 //创建加密协议isakmp策略为1
encryption 3des //指定加密算法为 3des
hash sha //设置哈希算法为sha
authentication pre-share //采用预共享密钥方式
group 2 //指定DH算法的密钥长度为组2
crypto isakmp key tedu address 200.0.0.1
//设置加密协议 isakmp 密钥为tedu指定地址为200.0.0.1
配置ACL
access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255
//设置acl 100 允许172.16.100.0网段访问10.10.33.0 网段
配置IPSec策略(转换集)
crypto ipsec transform-set yf-set ah-sha-hmac esp-des
//设置加密ipsec策略转换集名称为yf-set支持ah-sha-hmac
配置加密映射集
crypto map yf-map 1 ipsec-isakmp
//设置映射集 yf-map 1 协议为 ipsec-isakmp
set peer 200.0.0.1 //与200.0.0.1端口建立邻居关系
set transform-set yf-set //添加ipsec策略转换集 yf-set
match address 100 //匹配序列号为100的ACL访问条目
将映射集应用在接口
interface f0/1 //进入接口f0/1
crypto map yf-map //设置映射集 yf-map
Router3
配置ISAKMP策略
crypto isakmp policy 1 //设置加密协议isakmp策略为1
encryption 3des //设置加密算法为 3des
hash sha //设置哈希算法为sha
authentication pre-share //采用预共享密钥方式
group 2 //指定DH算法的密钥长度组2
crypto isakmp key tedu address 100.0.0.1
//设置加密协议 isakmp 密钥为tedu指定地址为100.0.0.1 (密钥必须相同)
配置ACL
access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255
//设置acl 100 允许10.10.33.0网段访问172.16.10.0 网段
配置IPSec策略(转换集)
crypto ipsec transform-set yf-set ah-sha-hmac esp-des
//设置加密ipsec策略转换集名称为yf-set支持ah-sha-hmac(加密和认证算法要与前者一致)
配置加密映射集
crypto map yf-map 1 ipsec-isakmp
//设置映射集 yf-map 1 协议为 ipsec-isakmp
set peer 100.0.0.1 //与100.0.0.1端口建立邻居关系
set transform-set yf-set //添加ipsec策略转换集 yf-set
match address 100 //匹配acl 100
将映射集应用在接口
interface f0/0 //进入接口f0/0
crypto map yf-map //设置映射集 yf-map
二、通过NAT实现PC0访问互联网(ISP),但是无法访问Server1
access-list 1 permit 172.16.20.0 0.0.0.255 //创建ACL条目
ip nat inside source list 1 interface f0/1 overload //将ACL条目应用在F0/1接口上
int f0/1 //进入接口f0/1
ip nat outside //将其定义为出向接口
int f0/0 //进入接口f0/0
ip nat inside //将其定义为入向接口
三、实现PC1即可以访问互联网(ISP),又可以访问Server1
access-list 110 deny ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255
//创建1条ACL条目,此条目为扩展ACL(序列号100-199范围),拒绝源IP网络段为172.16.10.0通过任何IP网络协议访问目的网络段为10.10.33.0
access-list 110 permit ip any any
//创建1条ACL条目,此条目为扩展ACL(序列号100-199范围),允许其余任何网络段之间进行互通。
ip nat inside source list 110 interface FastEthernet0/1 overload
//将ACL条目110应用在F0/1接口上
验证
一、通过×××实现PC1访问Server1,但是无法访问互联网(ISP)
PC1->Server1
二、通过NAT实现PC0访问互联网(ISP),但是无法访问Server1
PC0->ISP
三、实现PC1即可以访问互联网(ISP),又可以访问Server1
PC1->ISP
来源:51CTO
作者:张涤非
链接:https://blog.51cto.com/12906292/2069120