CISCO IPsec NAT 穿越

CISCO IPsec NAT 穿越

ID:39547698

大小:75.00 KB

頁數(shù):5頁

時間:2019-07-06

CISCO IPsec NAT 穿越_第1頁
CISCO IPsec NAT 穿越_第2頁
CISCO IPsec NAT 穿越_第3頁
CISCO IPsec NAT 穿越_第4頁
CISCO IPsec NAT 穿越_第5頁
資源描述:

《CISCO IPsec NAT 穿越》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫。

1、CISCOIPsecNAT穿越一.案例拓撲二.需求分析:如圖,R2是BNET公司上??偣镜穆酚善?,R1是BNET公司蘇州分公司路由器,ISP1是長寬的路由,ISP2是電信路由器。R2的外部地址是公網(wǎng)地址,R1的外部地址是私網(wǎng)地址。在實際的工程中我們遇到這種問題太正常了,但恰好我們又需要在R1和R2之間建立IPSECVPN。NAT和IPSEC是互相沖突的,因為IPSEC保護私網(wǎng)地址和傳輸層內(nèi)容,而NAT需要改這些。在CISCO設(shè)備中,我們只需要一條命令就可以解決這樣的問題。R(config)#cryptoisakmpnatkeeplive60它自

2、動檢測是否經(jīng)過NAT設(shè)備,如果發(fā)現(xiàn)時NAT設(shè)備,則用UDP封裝。三.配置參數(shù)1.R1的配置hostnameR1cryptoisakmppolicy1//配置IKE策略,同普通IPSECVPNhashmd5authenticationpre-sharelifetime60cryptoisakmpkeyciscoaddress201.1.1.2cryptoisakmpnatkeepalive60//與普通IPSEC不同之處,在此啟用IPSECNAT穿越,并且保持活躍的時間是60秒!!cryptoipsectransform-settran1esp-d

3、esesp-sha-hmac!cryptomapmap11ipsec-isakmpsetpeer201.1.1.2settransform-settran1matchaddress101!!!!interfaceSerial0/0ipaddress10.1.1.2255.255.255.0serialrestart-delay0cryptomapmap1//接口綁定IPSEC策略!interfaceSerial0/1noipaddressshutdownserialrestart-delay0!interfaceSerial0/2noipaddr

4、essshutdownserialrestart-delay0!interfaceSerial0/3noipaddressshutdownserialrestart-delay0!interfaceFastEthernet1/0ipaddress192.168.1.1255.255.255.0duplexautospeedauto!iphttpservernoiphttpsecure-server!iproute0.0.0.00.0.0.010.1.1.1!!access-list101permitip192.168.1.00.0.0.25519

5、2.168.2.00.0.0.255//配置IPSEC保護流1.ISP1的配置ISP1#showrunISP1#showrunning-confighostnameISP1interfaceSerial0/0ipaddress10.1.1.1255.255.255.0//這個地址不是私網(wǎng)地址ipnatinside//NAT的內(nèi)部接口ipvirtual-reassemblyserialrestart-delay0!interfaceSerial0/1//公網(wǎng)地址ipaddress200.1.1.1255.255.255.252ipnatoutsid

6、e//NAT的外部接口ipvirtual-reassemblyserialrestart-delay0clockrate64000!iproute201.1.1.0255.255.255.252200.1.1.2//到201.1.1.0的路由,保證公網(wǎng)全網(wǎng)互通,真實化境中,我們應(yīng)該跑路由協(xié)議的,并且ISP2是公網(wǎng)的邊緣路由器,也可以使用默認路由!ipnatinsidesourcelist1interfaceSerial0/1overload//網(wǎng)絡(luò)地址轉(zhuǎn)換——PAT!access-list1permit10.1.1.00.0.0.255//允許訪

7、問外部的內(nèi)網(wǎng)地址2.ISP2的配置(沒用的我給刪掉了)Router#showrunning-configversion12.4hostnameRouter!nologgingconsoleinterfaceSerial0/0ipaddress200.1.1.2255.255.255.252serialrestart-delay0!interfaceSerial0/1ipaddress201.1.1.1255.255.255.252serialrestart-delay0!end小結(jié):ISP2上有該公網(wǎng)區(qū)域全部路由,它什么也不用設(shè)置1.R2配置R2

8、#showrunning-configversion12.4!hostnameR2!cryptoisakmppolicy1//IKE策略

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動畫的文件,查看預(yù)覽時可能會顯示錯亂或異常,文件下載后無此問題,請放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫負責(zé)整理代發(fā)布。如果您對本文檔版權(quán)有爭議請及時聯(lián)系客服。
3. 下載前請仔細閱讀文檔內(nèi)容,確認文檔內(nèi)容符合您的需求后進行下載,若出現(xiàn)內(nèi)容與標題不符可向本站投訴處理。
4. 下載文檔時可能由于網(wǎng)絡(luò)波動等原因無法下載或下載錯誤,付費完成后未能成功下載的用戶請聯(lián)系客服處理。