已阅读5页,还剩1页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
两台出口路由器之间GRE OVER IPSEC+NAT+OSPF实验拓扑:拓扑描述:如上图所示:在两台出口路由器上分别实现站点内部PAT上网,同时通过在R1、R3的出接口之间建立GRE隧道来传递两个站点的动态OSPF路由,同时通过在R1、R3之间建立一个传输模式的IPSEC隧道来对两个出接口的GRE感兴趣流量实施保护。具体配置:R1:1、 接口和PAT配置interface FastEthernet0/0 ip address 12.1.1.1 255.255.255.0 ip nat outsideinterface FastEthernet0/1 ip address 10.1.1.2 255.255.255.0 ip nat insideip route 0.0.0.0 0.0.0.0 12.1.1.2ip nat inside source list nat interface FastEthernet0/0 overloadip access-list extended nat 扩展访问列表-定义NAT流量 deny ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255拒绝到site B的流量(走GRE隧道) permit ip any any2、 GRE隧道配置interface Tunnel0 ip address 192.168.1.1 255.255.255.0 tunnel source 12.1.1.1 tunnel destination 23.1.1.23、 OSPF配置router ospf 1 启用OSPF进程1 log-adjacency-changes network 10.1.1.2 0.0.0.0 area 0 将内网接口宣告进区域0 network 192.168.1.1 0.0.0.0 area 0 将隧道接口宣告进区域04、 IPSEC配置crypto isakmp policy 1 创建一阶段策略 encr 3des authentication pre-share group 2crypto isakmp key 6 cisco address 23.1.1.2 指定对端地址和pre-share keycrypto ipsec transform-set myset esp-3des esp-sha-hmac 二阶段数据加密和完整性校验算法 mode transport 传输模式(加密连个端点的数据)crypto map mymap 1 ipsec-isakmp 创建加密映射关联感兴趣流、转换集、对端地址 set peer 23.1.1.2 set transform-set myset match address vpninterface FastEthernet0/0crypto map mymap 在出接口下应用加密映射ip access-list extended vpn permit gre host 12.1.1.1 host 23.1.1.2 IPSEC VPN的感兴趣流就是两个出接口间的GRE流量R2:interface Loopback0 ip address 2.2.2.2 255.255.255.255interface FastEthernet0/0 ip address 12.1.1.2 255.255.255.0interface FastEthernet0/1 ip address 23.1.1.1 255.255.255.0R3:1、 接口和PAT配置interface FastEthernet0/0 ip address 10.2.2.2 255.255.255.0 ip nat insideinterface FastEthernet0/1 ip address 23.1.1.2 255.255.255.0 ip nat outsideip route 0.0.0.0 0.0.0.0 23.1.1.1ip nat inside source list nat interface FastEthernet0/1 overloadip access-list extended nat 扩展访问列表-定义NAT流量 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255拒绝到site A的流量(走GRE隧道) permit ip any any2、 GRE隧道配置interface Tunnel0 ip address 192.168.1.2 255.255.255.0 tunnel source 23.1.1.2 tunnel destination 12.1.1.13、 OSPF配置router ospf 1 log-adjacency-changes network 10.2.2.2 0.0.0.0 area 0 network 192.168.1.2 0.0.0.0 area 04、 IPSEC配置crypto isakmp policy 1 创建一阶段策略 encr 3des authentication pre-share group 2crypto isakmp key 6 cisco address 12.1.1.1 指定对端地址和pre-share keycrypto ipsec transform-set myset esp-3des esp-sha-hmac 二阶段数据加密和完整性校验算法 mode transport 传输模式(加密连个端点的数据)crypto map mymap 1 ipsec-isakmp 创建加密映射关联感兴趣流、转换集、对端地址 set peer 12.1.1.1 set transform-set myset match address vpninterface FastEthernet0/1crypto map mymap 在出接口下应用加密映射ip access-list extended vpn permit gre host 23.1.1.2 host 12.1.1.1 IPSEC VPN的感兴趣流就是两个出接口间的GRE流量R4:no ip routinginterface FastEthernet0/1 ip address 10.1.1.1 255.255.255.0ip default-gateway 10.1.1.2R5:no ip routinginterface FastEthernet0/0 ip address 10.2.2.1 255.255.255.0ip default-gateway 10.2.2.2实验测试:1、测试到对端的连通性R4-ping-R5NAT转换为空2、测试到公网的连通性 R4-ping-R2的环回口有NAT转换3、在R1上show crypto isakmp sa5、 在R1上show crypto ipsec sa6、 在R1上show crypto engine connections active7、查看R1的路由表通过OSPF学到site B的路由,下一跳指向site B的隧道接口IP地址7、 在R2的f0/1口抓包查看信息此时已看不到R4pingR5的ICMP包,在出接口IP头里面的ESP对GRE流量进行了加密在R1清除clear crypto isakmp可以看到IPSEC通道建立的ISAKMP包和后续发起的R4-45的ping包实验总结:测试做实验的时候,模拟内网如果用环回口带源地址pi
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 物业签订劳动合同范本
- 物业股份收购合同范本
- 物业过户物业合同范本
- 冀人版 (2017)六年级下册第一单元 昼夜和四季第1课 昼夜的形成教案
- 灯笼采购安装合同范本
- 物业公司分红合同范本
- 潜江废油收购合同范本
- 运输车队采购合同范本
- 灯具买卖合同协议模板
- 网架生产出售合同范本
- 办公室和交通安全课件
- 专八翻译历年真题与答案
- 预备党员转正流程PPT
- 创业基础(中国石油大学(华东))知到章节答案智慧树2023年
- 大众汽车整车开发流程
- 山西晋城关帝庙石雕建筑特征考察
- GB/T 11406-2001工业邻苯二甲酸二辛酯
- 《公司注销登记申请书》企业注销登记书
- 文言文专题复习 课件(共26张ppt) 中考语文一轮复习
- 心脏功能的超声心动图评估-课件
- 宣传报道稿件常见问题分析
评论
0/150
提交评论