思科设备路由器间IPsec VPN实现私网之间通信实战

1. 实验拓扑：

使用GNS3（版本号0.8.6）+c2691-advsecurityk9-mz.124-11.T2.

2. 实验需求：

a) C1可以和C2通信，实现跨互联网私网通信

b) C1、C2可以和R2的环回口loopback0通信，实现C1、C2及可以私网通信也可以上公网

3. 实验步骤：

a) IP地址规划

R1	f0/0	12.0.0.1/24	R3	f0/0	23.0.0.3/24
	f0/1	172.16.10.1/24		f0/1	172.16.30.1/24
R2	f0/0	12.0.0.2/24	C1		172.16.10.10/24
	f0/1	23.0.0.2/24
	Loopback0	2.2.2.2/24	C2		172.16.30.10/24

b) 配置脚本如下

R1#conf t

R1(config)#int f0/0

R1(config-if)#ip add 12.0.0.1 255.255.255.0

R1(config-if)#no shut

R1(config)#int f0/1

R1(config-if)#ip add 172.16.10.1 255.255.255.0

R1(config-if)#no shut

R1#conf t

R2(config)#int f0/0

R2(config-if)#ip add 12.0.0.2 255.255.255.0

R2(config-if)#no shut

R2(config)#int f0/1

R2(config-if)#ip add 23.0.0.2 255.255.255.0

R2(config-if)#no shut

R2(config)#int loo 0

R2(config-if)#ip add 2.2.2.2 255.255.255.0

R2(config-if)#no shut

R3#conf t

R3(config)#int f0/0

R3(config-if)#ip add 23.0.0.3 255.255.255.0

R3(config-if)#no shut

R3(config)#int f0/1

R3(config-if)#ip add 172.16.30.1 255.255.255.0

R3(config-if)#no shut

R1(config)#ip route 0.0.0.0 0.0.0.0 12.0.0.2 //公司出口配置默认路由

R3(config)#ip route 0.0.0.0 0.0.0.0 23.0.0.2

---------------------------------以上是IP地址和路由配置----------------------------------

R1(config)#crypto isakmp policy 1 //配置安全策略，数字表示优先级

R1(config-isakmp)#encryption 3des //告诉对端使用的对称加密算法

R1(config-isakmp)#hash md5 //告诉对端使用的hash算法

R1(config-isakmp)#authentication pre-share //告诉对端使用的认证算法

R1(config-isakmp)#group 5 //告诉对端使用的DH组

R1(config-isakmp)#lifetime 1200 //生存周期,有默认可以不设置

R1(config-isakmp)#exit

R1(config)#crypto isakmp key 6 123 address 23.0.0.3 //预共享密码设置为123,地址为对端R3的地址

R1(config)#crypto ipsec transform-set bset esp-aes esp-sha-hmac //配置传输集bset，设置对数据的加密方式

R1(cfg-crypto-trans)#exit

R1(config)#access-list 110 permit ip 172.16.10.0 0.0.0.255 172.16.30.00.0.0.255 //定义感兴趣的流量

R1(config)#crypto map bmap 1 ipsec-isakmp //定义cryptomap调用感兴趣流量并且设置传输集

R1(config-crypto-map)#set peer 23.0.0.3 //指定对端IP

R1(config-crypto-map)#set transform-set bset //调用传输集bset

R1(config-crypto-map)#match address 110 //调用列表110

R1(config-crypto-map)#int f0/0

R1(config-if)#crypto map bmap //将crypto map 应用到接口

R3(config)#crypto isakmp policy 1

R3(config-isakmp)#encryption 3des

R3(config-isakmp)#hash md5

R3(config-isakmp)#authentication pre-share

R3(config-isakmp)#group 5

R3(config-isakmp)#lifetime 1200

R3(config-isakmp)#exit

(config)#crypto isakmp key 6 123 address 12.0.0.1

R3(config)#crypto ipsec transform-set bset esp-aes esp-sha-hmac

R3(cfg-crypto-trans)#exit

R3(config)#access-list 110 permit ip 172.16.30.00.0.0.255 172.16.10.0 0.0.0.255

R3(config)#crypto map bmap 1 ipsec-isakmp

R3(config-crypto-map)#set peer 12.0.0.1

R3(config-crypto-map)#set transform-set bset

R3(config-crypto-map)#match address 110

R3(config-crypto-map)#int f0/0

R3(config-if)#crypto map bmap

测试

PC1

PC2

---------------------------以上是ipsecVPN配置----------------------------

R1(config-crypto-map)#int f0/0

R1(config-if)#ip nat outside

R1(config-if)#int f0/1

R1(config-if)#ip nat inside

R1(config-if)#exit

R1(config)#access-list 120 deny ip 172.16.10.0 0.0.0.255 172.16.30.00.0.0.255

R1(config)#access-list 120 permit ip 172.16.10.0 0.0.0.255 any

R1(config)#ip nat inside source list 120 int f0/0 overload

R3(config-crypto-map)#int f0/0

R3(config-if)#ip nat outside

R3(config-if)#int f0/1

R3(config-if)#ip nat inside

R3(config)#access-list 120 deny ip 172.16.30.0 0.0.0.255 172.16.10.00.0.0.255

R3(config)#access-list 120 permit ip 172.16.30.0 0.0.0.255 any

R3(config)#ip nat inside source list 120 int f0/0 overload

--------------------------以上是PAT外网口复用配置---------------------------------

4. 验证结果：

a) C1和C2通信，和R2环回口通信

b) C2和R2环回口通信

时间： 2024-10-06 11:21:07

思科设备路由器间IPsec VPN实现私网之间通信实战的相关文章

思科设备实现私网之间通信greVPN—P-T-P实战

1. 实验拓扑: 使用GNS3模拟器(版本0.8.6)+ c2691-advsecurityk9-mz.124-11.T2.bin (R1的f0/1和R3的f0/1都属于公司的内部网关) 2. 实验需求: a) 使用greVPN让总公司和分公司能够通过私网通信 b) 使用PAT让总公司和分公司都可以上互联网 3. 实验步骤: a) IP地址规划: R1 f0/0 12.0.0.1/24 f0/1 172.16.10.1/24

在H3C设备上配置IPSec VPN

全网互通实现现在开始做IPSec VPN H3C企业VPN解决方案某医疗器械公司随着业务的扩大,在深圳建立分公司.公司数据业务由总公统一处理,数据的安全性尤为重要,H3C提出VPN解决方案,总公司与分公司部署H3C MSR50.MSR30路由器,配置IPSec VPN 保证数据的安全传输. [BJ](应该先命名的) The device is running! ############ <Huawei> Mar 29 2014 15:25:48-05:13 Huawei %%01IFPDT

飞塔防火墙和tplink路由器建立IPSEC VPN

公司外网网关为一台飞塔防火墙,需要与分支机构建立一条IPSEC vpn链路,分支机构有一台tplink路由器可支持ipsec功能. tplink路由器配置步骤: 一.创建vpn建立第一阶段IKE的加密组件: 二.创建vpn第一阶段相关模式信息: 三.创建第二阶段加密组件以及模式: 四.其他的访问控制,全部放行即可.(路由设置好本地路由即可,vpn中的远端路由不需要写到路由表中.) 飞塔防火墙配置步骤: 一.创建vpn第一阶段配置信息二.创建vpn第二阶段配置信息说明:好像vpn两端配置的源地

Cisco路由器配置 IPsec VPN

拓扑图实验目的: 实现R1网段:172.16.10.0/24与R2网段172.17.10.0/24通信加密. 配置思路: 路由通过ACL设置感兴趣流配置IKE第一阶段配置IKE第二阶段新建MAP,并应用于接口配置: R1: 配置默认路由和接口IP信息 interface Loopback0 ip address 172.16.10.1 255.255.255.0 no shu exit interface FastEthernet0/0 ip address 200.1.1.1

基于cisco路由器做IPSec VPN隧道

实验要求:拓扑图如下所示,R1和R5作为internet中两端内部局域网,通过在网关设备R2和R4上设置IPsec VPN,使两端的局域网之间建立一种逻辑上的虚拟隧道. 实验步骤:首先配置所有理由器接口的IP地址(略),并指定默认路由(因为是末梢网络). R1上面的默认路由如下所示. R2上面的默认路由如下所示. ISP是运营商,在这里用来模拟外部网络,只需要配置IP地址就行. R4上面的默认路由如下所示. R5上面的默认路由如下所示. 此时配置完成两个局域网是不能够通信的.下面就需要分别在R2

【高级】思科设备实现城域网ISIS+BGP+MPLS VPN多域互通实战

实验拓扑: GNS3 0.8.6 + c3725-adventerprisek9-mz.124-15.T5.image 实验要求: 1. IGP使用ISIS协议,用来承载城域网的直连和环回口路由. 2.通过配置普通BGP协议,承载用户业务路由(大客户和PPPoE拨号),实现互联网路由传递. 3.通过配置BGP/MPLS 的跨域VPN实现分公司和总公司之间的私网通信. 实验步骤及验证: 1.接口及ip地址规划: 路由器接口 ip地址 R1 F0/0 172.16.0.1/24 R1 F0/1

思科设备实现公司之间私网通信greVPN—P-T-P实战

IPsec VPN原理与配置【Route&ASA】

IPsec VPN原理与配置简单的了解一些VPN的理论知识: 1.VPN的连接模式 VPN技术有两种传输模式:隧道模式和传输模式.这两种模式定义了两台实体设备之间传输数据时所采用的不同封装过程. (1)传输模式传输模式一个最显著的特点就是:在传输过程中,包头并没有被封装进去,意思是从源端到目的端始终使用原有的IP地址进行通信.而传输的实际数据被封装在VPN报文中. (2)隧道模式与传输模式的区别显而易见,VPN设备将整个三层数据报文封装在VPN数据内,再为封装过后的数据报文添加新的IP包头

如何在ASA防火墙上实现ipsec vpn

博主QQ:819594300 博客地址:http://zpf666.blog.51cto.com/ 有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持! 本文章介绍三个部分内容: ①ipsec vpn故障排查 ②如何在ASA防火墙上配置ipsec VPN ③防火墙与路由器配置ipsec VPN的区别说明:在ASA防火墙配置ipsec VPN与路由器的差别不是很大,而且原理相同,就是个别命令不一样. 一.ipsec VPN故障排查 1.show crypto isakmp sa命令通过这