多点IPsecVPN和NAT-T穿越的实现

实验

实验拓扑图:

实验环境:

在GNS3上面搭建五台路由器和三台PC机,R1,R4,R5作为VPN路由器,R2作为NAT地址转换路由器,ISP路由器作为运营商,使用VPCS模拟PC机客户端

实验要求:

配置多点IPsecVPN,实现C1能访问C2和C3,在NAT地址转换的环境下配置NAT-T,使外网的可以发起VPN隧道连接。

实验步骤:

配置各路由器接口和PC机IP地址:

R1:

R1(config)#int f0/0

R1(config-if)#ip add 192.168.10.1 255.255.255.0

R1(config-if)#no shu

R1(config-if)#int f0/1

R1(config-if)#ip add 172.16.10.1 255.255.255.0

R1(config-if)#no shut

R2:

R2(config)#int f0/0

R2(config-if)#ip add 172.16.10.2 255.255.255.0

R2(config-if)#no shut

R2(config-if)#int f0/1

R2(config-if)#ip add 100.1.1.1 255.255.255.252

R2(config-if)#no shut

ISP:

R3(config)#int f0/0

R3(config-if)#ip add 100.1.1.2 255.255.255.252

R3(config-if)#no shut

R3(config-if)#int f0/1

R3(config-if)#ip add 150.1.1.1 255.255.255.252

R3(config-if)#no shut

R4:

R4(config)#int f0/0

R4(config-if)#ip add 150.1.1.2 255.255.255.252

R4(config-if)#no shut

R4(config-if)#int f0/1

R4(config-if)#ip add 12.1.1.1 255.255.255.0 

R4(config-if)#no shut

R5:

R5(config)#int f0/0

R5(config-if)#ip add 200.1.1.2 255.255.255.252

R5(config-if)#no shut

R5(config-if)#int f0/1

R5(config-if)#ip add 13.1.1.1 255.255.255.0

R5(config-if)#no shut

PC:

配置默认路由:

R1(config)#ip route 0.0.0.0 0.0.0.0 172.16.10.2

R2(config)#ip route 0.0.0.0 0.0.0.0 100.1.1.2

R4(config)#ip route 0.0.0.0 0.0.0.0 150.1.1.1

R5(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.1

接下来配置IPsecVPN:

R1到R4之间的VPN隧道:

R1(config)#crypto isakmp policy 1

R1(config-isakmp)#encryption des

R1(config-isakmp)#authentication pre-share 

R1(config-isakmp)#hash sha

R1(config-isakmp)#group 2

R1(config-isakmp)#lifetime 60

R1(config-isakmp)#ex

R1(config)#crypto isakmp key 0 abc123 address 150.1.1.2

R1(config)#access-list 110 permit ip 192.168.10.0 0.0.0.255 12.1.1.0 0.0.0.255                

R1(config)#crypto ipsec transform-set benet esp-des esp-sha-hmac 

R1(cfg-crypto-trans)#ex

R1(config)#crypto map benetmap 1 ipsec-isakmp 

R1(config-crypto-map)#set peer 150.1.1.2

R1(config-crypto-map)#set transform-set benet

R1(config-crypto-map)#match address 110

R1(config-crypto-map)#ex

R1(config)#int f0/1

R1(config-if)#crypto map benetmap

配置实现多点IPsecVPN:

在R1上建立与R5的共享密钥和保护流量的ACL,还需要建立新的crypto map:

R1(config)#crypto isakmp key 0 abc123 address 150.1.1.2

R1(config)#access-list 110 permit ip 192.168.10.0 0.0.0.255 12.1.1.0 0.0.0.255     

R1(config)#crypto map benetmap 2 ipsec-isakmp  //使用相同的映射名称,但序列号不同

R1(config-crypto-map)#set peer 200.1.1.2

R1(config-crypto-map)#set transform-set benet

R1(config-crypto-map)#match address 120

R4的隧道配置:

R4(config)#crypto isakmp policy 1

R4(config-isakmp)#authentication pre-share 

R4(config-isakmp)#hash sha

R4(config-isakmp)#group 2

R4(config-isakmp)#lifetime 60

R4(config-isakmp)#ex

R4(config)#crypto isakmp key 0 abc123 address 100.1.1.1

R4(config)#access-list 110 permit ip 12.1.1.0 0.0.0.255 192.168.10.0 0.0.0.255         

R4(config)#crypto ipsec transform-set benet esp-des esp-sha-hmac 

R4(cfg-crypto-trans)#ex

R4(config)#crypto map benetmap 1 ipsec-isakmp 

R4(config-crypto-map)#set peer 100.1.1.1

R4(config-crypto-map)#set transform-set benet

R4(config-crypto-map)#match address 110

R4(config-crypto-map)#ex

R4(config)#int f0/0

R4(config-if)#crypto map benetmap

R5的隧道配置:

R5(config)#crypto isakmp policy 1

R5(config-isakmp)#encryption des

R5(config-isakmp)#authentication pre-share 

R5(config-isakmp)#hash sha

R5(config-isakmp)#group 2

R5(config-isakmp)#lifetime 60

R5(config-isakmp)#ex

R5(config)#crypto isakmp key 0 abc456 address 100.1.1.1

R5(config)#access-list 120 permit ip 13.1.1.0 0.0.0.255 192.168.10.0 0.0.0.255         

R5(config)#crypto ipsec transform-set benet esp-des esp-sha-hmac 

R5(cfg-crypto-trans)#ex

R5(config)#crypto map benetmap 2 ipsec-isakmp 

R5(config-crypto-map)#set peer 100.1.1.1

R5(config-crypto-map)#set transform-set benet

R5(config-crypto-map)#match address 120

R5(config-crypto-map)#ex

R5(config)#int f0/0

R5(config-if)#crypto map benetmap

在NAT路由器上做NAT-T穿越:

NAT-T在阶段一建立过中检测对等体之间是否存在地址转换设备,如果有,会在后续数据包中的IP包头和ESP包头之间插入一个标准的UDP包头。

R2(config)#ip nat inside source list 1 interface f0/1 overload  //作一条PAT转换私有地址

R2(config)#ip nat inside source static udp 172.16.10.1 500 100.1.1.1 500   //配置管理连接的静态端口映射

 

R2(config)#ip nat inside source static udp 172.16.10.1 4500 100.1.1.1 4500  //配置数据连接的静态端口映射

测试C1与C2和C3通信:

实验完成

时间: 2024-11-02 14:34:30

多点IPsecVPN和NAT-T穿越的实现的相关文章

SIP穿越NAT SIP穿越防火墙-SBC

FireWall&NAT FireWall是一种被动网络安全防卫技术,位于网络的边界,在两个网络之间执行访问控制策略,防止外部网络对内部信息资源的非法访问,也可以阻止特定信息从内部网络被非法输出.一般来说,防火墙将过滤掉所有不请自到的网络通信(除指定开放的地址和端口). NAT技术分为基本的网络地址转换技术(NAT)和网络地址与端口转换技术(NAPT,Network Address and Port Translator),其主要功能是为流出内网的分组分配一个全局的IP地址和端口号作为其源地址和

WebRTC中NAT穿透浅析

说NAT穿透之前先说几个关于WebRTC的概念,可能之前有跟作者一样对WebRTC概念理解错误的同学.. WebRTC(网络实时通信)它是一个支持网页浏览器进行实时语音对话或视频对话的技术,它为我们提供了视频会议的核心技术,包括音视频的采集.编解码.网络传输.显示等功能,并且还支持跨平台:windows,linux,mac,android,iOS. 1.WebRTC的实现原理 webRTC是基于P2P的网络通信,可能有同学不太了解P2P是什么,在此简单解释一下 P2P就是点对点的通信. 下面就拿

思科路由器ipsec lan-to-lan综合案例详解

在IPsecVPN范畴的VPN中,有多种形式的VPN,各形式的VPN因为架构和使用环境的不同而不同,但在IPsecVPN范畴内的各VPN中,都是以IPsec为基础的,在本小节中要讲到的是IPsecVPN之LAN-to-LANVPN,有时也被称为Site-to-SiteVPN,该形式的VPN是IPsecVPN中最简单的VPN,但并不代表该形式的VPN是最常用的. 在配置IPsecVPN范畴的VPN时,无论配置哪种形式,基本上需要如下几个重要步骤: 配置IKE(ISAKMP)策略 定义认证标识 配置

TIP协议

1. TIP是什么? CISCO给TIP的定义如下: The TIP protocol specifications describe how to multiplex multiple screens, multiple audio streams, as well as an auxiliary-data screen into a single Real-Time Transport Protocol (RTP) flows, one each for video and audio. I

webrtc教程

cdsn博客不支持word文件,所以这里显示不完全.可到本人资源中下载word文档: v0.3:http://download.csdn.net/detail/kl222/6961491 v0.1:http://download.csdn.net/detail/kl222/6677635  下载完后评论,可以返还你的积分.此文档还在完善中,欢迎大家交流,共同完善.    Webrtc  教程 版本0.3(2014年2月) 康林 ([email protected]) 本文博客地址:http://

UDP打洞原理介绍

 NAT穿越模块的设计与实现 Internet的快速发展以及IPv4地址数量的不足使得NAT设备得到了大规模的应用,然而这也给越来越多的端到端通信也带来了不少的麻烦.一般来说,NAT设备允许内网内主机主动向公网内主机发送数据,但却禁止内网外的主机主动向内网内的主机传递数据.由于很多的会话双方处于不同的NAT设备后,它们通信一般通过公网服务器中转,而要建立P2P通信,则必须解决NAT穿越问题才能建立通信. NAT 是介于内网和公网之间的设备,公网中的IP 地址是全球唯一的,而在内网中的IP 地址可

GRE OVER IPSEC过程解析

一,产生背景 IPsec是如今十分主流的分支机构互联VPN协议,其本身强大的加密与验证功能保障了在互联网传递时私网数据的安全,但是面对当前多元化的访问需求,Ipsec VPN并不能满足客户对私网网段之间复杂的互访要求:在实际环境中,分隔两地的机构要求通过VPN隧道建立私网之间的路由邻居关系,而Ipsec VPN本身并不具备传递路由的能力,所以GRE over IPSEC技术应运而生. 二,基本原理 我们知道,传统的IPsec VPN针对数据包的安全性要求,通常采用采用两种协议进行数据包封装:AH

WebRTC学习笔记_Demo收集

1.     WebRTC学习 1.1   WebRTC现状 本人最早接触WebRTC是在2011年底,那时Google已经在Android源代码中添?了webrtc源代码,放在/external/webrtc/,可是Android并没实用到它,更没有被浏览器使用.当时试图在Android 2.3(Gingerbread)高通平台的手机上用H.264 硬件codec替换掉WebRTC缺省使用的VP8软codec,费了不少劲勉强换掉后效果非常差仅仅得放弃. 近期得知Google最新版的Chrome

TCP/IP资料

VC下的TCP/IP协议栈代码 在wpcap驱动基础上实现的TCP/IP协议栈,包括TCP,UDP,IP,ARP,ICMP协议,可以在VC下调试. 源代码 ISIS路由协议 分级链接状态路由协议ISIS原理. RIP路由协议 基于距离矢量的路由协议RIP原理. UPnP协议 通用即插即协议UPnP的完整过程和报文. LwIP协议栈 一套用于嵌入式系统的开源TCP/IP协议栈,支持Socket. NAT协议 穿越NAT前先了解NAT是什么! Linux NAT实现分析 从代码实现的角度彻底理解NA