某软件公司分支公司到总公司的秘密通道

阅读量：6137 次

发布时间：2019-06-21

本文共 4288 字，大约阅读时间需要 14 分钟。

某软件开发公司在中小城市建立了分支公司，分支公司开发项目小组所在网络地址为 172.16.10.0/24，该网络的主机可以通过 ××× 访问总公司开发数据服务器

（10.10.33.0/24）。分支公司的其他客户端（172.16.20.0/24 网段）可以访问 Internet。
根据上述需求，网络管理员需要在分支公司的网关路由器上同时配置 ××× 和 PAT。

注意：

相关知识请看本人上一篇文章《带你认识IPSec ×××》。

实验拓扑：

某软件公司分支公司到总公司的秘密通道

地址规划：

某软件公司分支公司到总公司的秘密通道

实验步骤：

一、配置IP地址及掩码

研发小组：

其他客户端:

研发服务器：

R0：

Router>enable Router#configure terminal Router(config)#hostname R0R0(config)#int gi0/0R0(config-if)#ip address 172.168.20.254 255.255.255.0R0(config-if)#no shutdownR0(config-if)#int gi0/1R0(config-if)#ip address 172.168.10.254 255.255.255.0R0(config-if)#no shutdownR0(config-if)#int gi0/2R0(config-if)#ip address 172.10.10.1 255.255.255.0R0(config-if)#no shutdown

R1:

Router>enable Router#configure terminal Router(config)#hostname R1R1(config)#int fa0/0R1(config-if)#ip address 172.10.10.2 255.255.255.0R1(config-if)#no shutdown R1(config-if)#int fa0/1R1(config-if)#ip address 100.0.0.1 255.255.255.252R1(config-if)#no shutdown

R2:

Router>enableRouter#configure terminal Router(config)#hostname R2R2(config)#int fa0/0R2(config-if)#ip address 200.0.0.1 255.255.255.252R2(config-if)#no shutdown R2(config-if)#int fa0/1R2(config-if)#ip address 10.10.33.254 255.255.255.0R2(config-if)#no shutdown

ISP运营商：

Router>enableRouter#configure terminal Router(config)#hostname ISPISP(config)#int fa0/0ISP(config-if)#ip address 100.0.0.2 255.255.255.252ISP(config-if)#no shutdown ISP(config-if)#int fa0/1ISP(config-if)#ip addres00.0.0.2 255.255.255.252ISP(config-if)#no shutdown

二、配置路由

1. 在R0上配置默认路由

R0(config)#ip route 0.0.0.0 0.0.0.0 172.10.10.2

2. 在R1上配置静态路由

R1(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2R1(config)#ip route 172.168.20.0 255.255.255.0 172.10.10.1R1(config)#ip route 172.168.10.0 255.255.255.0 172.10.10.1

3. 在R2上配置默认路由

R2(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2

三、配置NAT

R1(config)#int fa0/0R1(config-if)#ip nat inside R1(config-if)#int fa 0/1R1(config-if)#ip nat outsideR1(config-if)#exitR1(config)#access-list 1 permit 172.168.20.0 0.0.0.255R1(config)#ip nat inside source list 1 interface fa0/1 overload

四、配置IPSec ×××

R1：

配置ISAKMP策略

R1(config)#crypto isakmp policy 1//配置ISAKMP策略1R1(config-isakmap)#encryption 3des //使用加密方式为3DES加密（定义保密级别）R1(config-isakmap)#hash sha // 设置哈希算法为sha         R1(config-isakmap)#authentication pre-share //采用预共享密钥方式R1(config-isakmap)#group 2 //指定DH算法的密钥长度为组2（DH组1的有效 密钥长度为768，DH组2的有效密钥长度为1 024， DH组 5 的有效密钥长度为1 536 密）R1(config)#crypto isakmp key tedu address 200.0.0.1 //设置加密协议 isakmp 密钥为tedu指定地址为200.0.0.1

配置ACL

R1(config)#access-list 100 permit ip 172.168.10.0 0.0.0.255 10.10.33.0 0.0.0.255 //设置acl 100 允许172.16.100.0网段访问10.10.33.0 网段

配置ipsec策略（转换集）

R1(config)#crypto ipsec transform-set yf-set ah-sha-hmac esp-des //设置加密ipsec策略转换集名称为yf-set支持ah-sha-hmac

配置加密映射集

R1(config)#crypto map yf-map 1 ipsec-isakmp //设置映射集 yf-map 1 协议为  ipsec-isakmpR1(config-crypto-map)#set peer 200.0.0.1 //配置要建立领居的外网地址R1(config-crypto-map)#set transform-set yf-set//添加ipsec策略转换集 yf-setR1(config-crypto-map)#match address 100 //匹配acl 100

将映射集应用在接口

R1(config)#interface f0/1//进入端口R1(config-if)#crypto map yf-map//在外网口调用映射集注释：R2配置步骤与R1相同，不过在配置建立邻居的地址时选择的是R1的外网口地址

R2：

配置ISAKMP策略

R2(config)#crypto isakmp policy 1 //配置ISAKMP策略1R2(config-isakmap)#encryption 3des //使用加密方式为3DES加密（定义保密级别）R2(config-isakmap)#hash sha //设置哈希算法为sha   R2(config-isakmap)#authentication pre-share //采用预共享密钥方式R2(config-isakmap)#group 2 //指定DH算法的密钥长度为组2（DH组1的有效 密钥长度为768，DH组2的有效密钥长度为1 024， DH组 5 的有效密钥长度为1 536 密）R2(config)#crypto isakmp key tedu address 100.0.0.1 //设置加密协议 isakmp 密钥为tedu指定地址为100.0.0.1

配置ACL

R2(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255 //设置acl 100 允许10.10.33.0网段访问网段172.16.100.0

配置ipsec策略（转换集）

R2(config)#crypto ipsec transform-set yf-set ah-sha-hmac esp-des//设置加密ipsec策略转换集名称为yf-set支持ah-sha-hmac

配置加密映射集

R2(config)#crypto map yf-map 1 ipsec-isakmp //设置映射集 yf-map 1 协议为  ipsec-isakmpR2(config-crypto-map)#set peer 100.0.0.1 //配置要建立领居的外网地址R2(config-crypto-map)#set transform-set yf-set //添加ipsec策略转换集yf-setR2(config-crypto-map)#match address 100 //匹配ACL 100

将映射集应用在接口

R2(config)#interface f0/0 //进入端口R2(config-if)#crypto map yf-map //在外网口调用映射集

验证与测试：

1. 其他客户端可以访问外网

2. 地址转换

首先在R1上开启debug ip nat

R1：

然后在R2上开启debug ip packet

R2：

3. 研发小组可以访问总公司开发数据服务器，但不能访问internet

A．可以ping通

B．可以访问HTTP服务

C．不可以访问Internet

D．用命令查看×××通道的连接状态

R1:

R3:

转载于:https://blog.51cto.com/13557013/2068956

你可能感兴趣的文章

2019 SRE 调查报告：事故处理是主要工作，SRE 压力山大

查看>>

React创建组件的三种方式及其区别

查看>>

大中型企业的天网：Apache Geode

查看>>

Windows Server已可安装Docker，Azure开始支持Mesosphere

查看>>

本地部署比SaaS更容易满足GDPR要求吗？

查看>>

业内预测：2017中国光通信设备规模将达近千亿元

查看>>

网页开发从业者仍更重视桌面程序及网页应用

查看>>

如何解决mysql数据库8小时无连接自动关闭

查看>>

ASP.NET Aries 入门开发教程5：自定义列表页工具栏区

查看>>

Rushcrm:如何利用CRM系统的权限设置

查看>>

《Cisco IPv6网络实现技术（修订版）》一2.7　复习题

查看>>

Facebook 开源 Android 调试工具 —— Stetho

查看>>

生活不止有苟且，还有N个免费DevOps开源工具

Hibernate ORM 5.1.7 发布，数据持久层框架

查看>>

数百万网站因流行 PHP 脚本的安全漏洞而受影响

查看>>

《走进SAP（第2版）》——2.7　SAP对业务流程的支持

查看>>

《C语言解惑》—— 2.9　输出值的操作符

查看>>

实验拓扑：

地址规划：

实验步骤：

一、 配置IP地址及掩码

二、 配置路由

三、 配置NAT

四、 配置IPSec ×××

验证与测试：

一、配置IP地址及掩码

二、配置路由

三、配置NAT

四、配置IPSec ×××