資源描述:
《ipsec穿越nat實(shí)驗(yàn)》由會(huì)員上傳分享,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1���、IPSec穿越NAT實(shí)驗(yàn)實(shí)驗(yàn)?zāi)康?掌握IPSec基本配置,熟悉IPSec穿越NAT特性原理�,并且驗(yàn)證拓?fù)湔f明.:R1,NAT,R2設(shè)備通過e0/0和e0/1口之間相互連接,如圖�����,具體試驗(yàn)連接接口�,按照自己的配置,中間NAT設(shè)備提供地址轉(zhuǎn)換功能�,保證了R1到R2設(shè)備的連通性,這里需要回顧NAT的配置��,R1����,R2設(shè)備上面各自有l(wèi)oopback0口接口地址配置如下:R1-E0/0:192.168.1.2/24,R1-Loopback0:10.1.1.1/24NAT-E0/0-:192.168.1.1/24NAT-E0/1:202.106.0.20/24R2-E0/0:202.106.0.
2����、21/24R2-Loopack0:10..1.2.1/24最終目標(biāo)實(shí)現(xiàn)10.1.1.1到10.1.2.1地址的通信����,保證使用了IPSEC加密,同時(shí)穿越了NAT設(shè)備并且注意這里的NAT是穿越運(yùn)營(yíng)商的NAT配置過程:1�����,首先配置各個(gè)設(shè)備的ip地址���,保證設(shè)備的直連通信��,同時(shí)保證了nat設(shè)備能夠正常工作��,保證了從R1的192.168.1.2地址可以ping通R2設(shè)備的202.106.0.21地址����,但是反過來ping卻不通�,這是屬于正常,因?yàn)橹虚g有nat設(shè)備�����,做到這個(gè)效果,也就是nat的配置��。2��,進(jìn)行IPSEC的具體配置�����,感興趣的數(shù)據(jù)流使用訪問控制列表配置����,IKE階段一的配置���,IKE階段二配
3��、置��,還有IPSEC策略配置�,以及最后把策略運(yùn)行在接口上面��,第一部分:配置所有接口的ip地址保證直連接通信��,然后配置NAT特性R1配置:Router(config)#hostnameR1設(shè)置R1設(shè)備主機(jī)名字4R1(config)#interfaceLoopback0建立loopback口,并且給接口配置地址R1(config-if)#ipaddress10.1.1.1255.255.255.0R1(config-if)#exitR1(config)#interfaceEthernet0/0給e0/0接口配置ip地址保證設(shè)備之間連通性R1(config-if)#ipaddress192
4����、.168.1.2255.255.255.0R1(config-if)#noshutdownNAT設(shè)備配置:Router(config)#hostnameNAT設(shè)置NAT設(shè)備主機(jī)名字NAT(config)#interfaceEthernet0/1給e0/1接口配置ip地址保證與R2設(shè)備之間連通性NAT(config-if)#ipaddress202.106.0.20255.255.255.0NAT(config-if)#noshutdownNAT(config-if)#ipnatoutside設(shè)置nat外網(wǎng)接口NAT(config-if)#exitNAT(config)#interf
5、aceEthernet0/0給e0/0接口配置ip地址保證與R1設(shè)備之間連通性NAT(config-if)#ipaddress192.168.1.1255.255.255.0NAT(config-if)#noshutdownNAT(config-if)#ipnatinside設(shè)置nat內(nèi)網(wǎng)接口NAT(config)#access-list10permit192.168.1.00.0.0.255配置nat使用的訪問控制列表NAT(config)#ipnatinsidesourcelist10interfaceEthernet0/1overload配置nat保證網(wǎng)連通R2配置:Rout
6��、er(config)#hostnameR2設(shè)置R2設(shè)備主機(jī)名字R2(config)#interfaceLoopback0建立loopback口��,并且給接口配置地址R2(config-if)#ipaddress10.1.2.1255.255.255.0R2(config)#interfaceEthernet0/0給E0/0接口配置地址保證與NAT設(shè)備之間的連通性R2(config-if)#ipaddress202.106.0.21255.255.255.0R2(config-if)#noshutdown4第二部分:1�,首先在R1和R2上面配置訪問控制列表定義感興趣的數(shù)據(jù)流,也就是ip
7���、sec需要保護(hù)的數(shù)據(jù)流����,鏡像配置R1(config)#access-list101permitip10.1.1.00.0.0.25510.1.2.00.0.0.255R2與R1的互相為鏡像R2(config)#access-list101permitip10.1.2.00.0.0.25510.1.1.00.0.0.2552�,配置R1與R2的IKE的第一個(gè)階段所需要的參數(shù)R1的配置:R1(config)#cryptoisakmppolicy10R1(config-isa
