配置帶NAT的點到多點的×××

版權聲明：原創做品，容許轉載，轉載時請務必以超連接形式標明文章 原始出處 、做者信息和本聲明。不然將追究法律責任。 http://supercisco.blog.51cto.com/672109/310768

這個實驗是我上 IE 課作的。我把它作了一遍並按實驗報告的方式寫了出來，說明的很詳細，不是以 show run 形式呈現的，以便你們更容易地看懂。呵呵，寫寫這些東西花了兩個多小時。我以爲這種對於點數少仍是比較實用的。若是多的話最好仍是用 DM××× ，這樣便於之後更好的管理和擴展。   實驗目的： 1、掌握點到多點的×××的配置 2 、讓全部 NAT 下的私網都能上 internet （在 R4 上用 loopback 模擬）   實驗要求： 1 、配置 R1—R2 ， R1—R3 的 ××× 2 、 R1--R2 使用 DES 加密， R1—R3 使用 3DES 加密 3 、讓全部 NAT 下的私網都能上 internet 1、拓撲圖： 2、實驗的詳細配置： 1 、配置各路由器的 IP （略）。爲保證網絡的連通性， R1 、 R2 、 R3 配置默認路由， R4 上面配置到各私網的靜態路由： R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.14.4   R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.24.4   R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.34.4   R4(config)#ip route 192.168.1.0 255.255.255.0 192.168.14.1 R4(config)#ip route 192.168.2.0 255.255.255.0 192.168.24.2 R4(config)#ip route 192.168.3.0 255.255.255.0 192.168.34.3   2 、根據拓撲配置 R1—R2 、 R1—R3 的點到多點的 ××× ，須要說明一下，配置 ××× 的時候，按照先定義感興趣數據流（建議用擴展 ACL 來作，由於普通的 ACL 刪掉一項的話會把整個 ACL 全刪掉），下一步是配置 ISAKMP 、再就是 IPSEC 的配置，最後關聯到加密圖裏去： R1(config)#ip access-list extended ×××12 （使用擴展 ACL 定義 R1—R2 的感興趣流） R1(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 R1(config-ext-nacl)#exit R1(config)#ip access-list extended ×××13 （使用擴展 ACL 定義 R1—R3 的感興趣流） R1(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255   R1(config)#crypto isakmp key 0 CISCO12 address 192.168.24.2 ( 定義對 R2 的預共享密鑰 ) R1(config)#crypto isakmp key 0 CISCO13 address 192.168.34.3( 定義對 R3 的預共享密鑰 ) R1(config)#crypto isakmp policy 12 （定義 R1-R2 的 ISAKMP 策略） R1(config-isakmp)#authentication pre-share （採用預共享認證模式） R1(config-isakmp)#encryption des （使用 DES 加密） R1(config-isakmp)#hash md5 R1(config-isakmp)#group 2 （使用 Diffie-Hellman group 2 管理）   R1(config)#crypto isakmp policy 13 （定義 R1-R3 的 ISAKMP 策略） R1(config-isakmp)#authentication pre-share R1(config-isakmp)#encryption 3des R1(config-isakmp)#hash md5 R1(config-isakmp)#group 2   R1(config)#crypto ipsec transform-set ×××12 esp-3des esp-md5-hmac （配置 R1-R2 IPSEC 變換集） R1(cfg-crypto-trans)#exit R1(config)#crypto ipsec transform-set ×××13 esp-3des esp-md5-hmac （配置 R1-R3 IPSEC 變換集）   R1(config)#crypto map ××× 12 ipsec-isakmp （針對 R1-R2 的加密圖映射表） R1(config-crypto-map)#set peer 192.168.24.2 （設置對等體） R1(config-crypto-map)#match add ×××12 （匹配擴展的 ACL 名爲 ×××12 ） R1(config-crypto-map)#set transform-set ×××12 （引用對 R1-R2 設置的 IPSEC 的變換集） R1(config-crypto-map)#exit R1(config)#crypto map ××× 13 ipsec-isakmp （針對 R1-R3 的加密圖映射表） R1(config-crypto-map)#set peer 192.168.34.3 R1(config-crypto-map)#match add ×××13 （匹配擴展的 ACL 名爲 ×××13 ） R1(config-crypto-map)#set transform-set ×××13 （引用對 R1-R3 設置的 IPSEC 的變換集） R1(config-crypto-map)#int s0/0 R1(config-if)#crypto map ××× （掛接加密圖到接口）   R2(config)#ip access-list extended ×××12 R2(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 （在 R2 上定義 ACL ） R2(config)#crypto isakmp key 0 CISCO12 address 192.168.14.1 （定義對 R1 的預共享） R2(config)#crypto isakmp policy 12 ( 同理和 R1 對 R2 設置的對應 ) R2(config-isakmp)#authentication pre-share   R2(config-isakmp)#encryption des R2(config-isakmp)#hash md5 R2(config-isakmp)#group 2 R2(config-isakmp)#exit   R2(config)#crypto ipsec transform-set ×××12 esp-3des esp-md5-hmac （ R1 和 R2 間的變換集） R2(cfg-crypto-trans)#exit R2(config)#crypto map ××× 12 ipsec-isakmp （配置加密圖映射表） R2(config-crypto-map)#match add ×××12 （匹配 ACL ） R2(config-crypto-map)#set transform-set ×××12 （引用以前設置的變換集） R2(config-ext-nacl)#int s0/0 R2(config-if)#crypto map ××× （掛接加密圖到接口）   R3(config)#ip access-list extended ×××13 R3(config-ext-nacl)#permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 R3(config)#crypto isakmp key 0 CISCO13 address 192.168.14.1 R3(config)#crypto isakmp policy 13 （同理和 R1 對 R3 一致） R3(config-isakmp)#authentication pre R3(config-isakmp)#authentication pre-share R3(config-isakmp)#en R3(config-isakmp)#encryption 3des R3(config-isakmp)#hash md5 R3(config-isakmp)#group 2 R3(config-isakmp)#exit   R3(config)#crypto ipsec transform-set ×××13 esp-3des esp-md5-hmac （設置 ipsec 變換集） R3(cfg-crypto-trans)#exit   R3(config)#crypto map ××× 13 IPSec-isakmp （在 R3 上設置加密圖映射表） R3(config-crypto-map)#set peer 192.168.14.1 （設置對等體） R3(config-crypto-map)#match add ×××13 （匹配 ACL ） R3(config-crypto-map)#set transform-set ×××13 （引用以前設置的變換集） R3(config-crypto-map)#int s0/0 R3(config-if)#crypto map ××× （掛接加密圖到接口）   3 、配置完以後，來看一下 ××× 的連通性： R1#ping ip Target IP address: 192.168.2.2 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 192.168.1.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds: Packet sent with a source address of 192.168.1.1 .!!!!   R1#ping ip Target IP address: 192.168.3.3 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 192.168.1.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.3.3, timeout is 2 seconds: Packet sent with a source address of 192.168.1.1 .!!!!   4 、配置 R1 、 R2 、 R3 的 NAT ，讓它們都能上 internet( 用 R4 上的 loopback 接口模擬出來的網段 ) ，在此要注意一下： A ：數據包流入路由器的處理過程： ACL—××× 的解密 —NAT— 策略路由 — 標準路由 B ：數據包流出路由器的處理過程： NAT—××× 的加密 —ACL— 因此在配置 NAT 的時候必定要 deny 掉定義的 ××× 數據流，否則的話數據流會先走 NAT ， overload 以後 ××× 將會不通： R1(config)#ip access-list extended NAT R1(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 R1(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 R1(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 any R1(config-ext-nacl)#exit R1(config)#ip nat inside source list NAT interface s0/0 overload R1(config)#int s0/0 R1(config-if)#ip nat outside R1(config-if)#int lo0 R1(config-if)#ip nat inside   R2(config)#ip access-list extended NAT R2(config-ext-nacl)#deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 R2(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 any R2(config)#ip nat inside source list NAT interface s0/0 overload R2(config)#int s0/0 R2(config-if)#ip nat outside R2(config-if)#int lo0 R2(config-if)#ip nat inside   R3(config)#ip access-list extended NAT R3(config-ext-nacl)#deny ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 R3(config-ext-nacl)#permit ip 192.168.3.0 0.0.0.255 any R3(config)#ip nat inside source list NAT interface s0/0 overload R3(config)#int s0/0 R3(config-if)#ip nat outside R3(config-if)#int lo0 R3(config-if)#ip nat inside   5 、再來看一下各路由器的私網可否上 internet ： R1#ping ip  Target IP address: 4.4.4.4 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]:  Extended commands [n]: y Source address or interface: 192.168.1.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 4.4.4.4, timeout is 2 seconds: Packet sent with a source address of 192.168.1.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/37/84 ms R1#   R2#ping ip Target IP address: 4.4.4.4 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 192.168.2.2 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 4.4.4.4, timeout is 2 seconds: Packet sent with a source address of 192.168.2.2 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/38/76 ms R2#     R3#ping ip Target IP address: 4.4.4.4 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 192.168.3.3 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 4.4.4.4, timeout is 2 seconds: Packet sent with a source address of 192.168.3.3 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/34/76 ms R3#     本文出自 「 超越技術成就價值」 博客，請務必保留此出處 http://supercisco.blog.51cto.com/672109/310768