1. 实验名称:思科,*** 配置实现 

  2. 实验拓扑图: 

         

             思科,*** 配置实现_第1张图片

3.地址规划 : R2 : fa0/0  100.0.0.1/30                    fa0/1 192.168.11.2 /24

                      R1 :    g0/0   192.168.11.1/24               g0/1  172.16.20.254 /24     g0/2 172.16.10.254/24 

                      R3 :   fa0/0 100.0.0.2 /30                      fa0/1 200.0.0.1 /30     

                      R4     fa0/1 200.0.0.2/30                      fa 0/0  10.10.33.254 /24 

                      pc1: 172.16.20.1   255.255.255.0 

                                     gateway  172.16.20.254 

                      pc2 :   172.16.10.1    255.255.255.0 

                                    gateway   172.16.10.254  

                      server :  10.10.33.1 255.255.255.0 

                                     gateway  10.10.33.254


4.  实验目的 :  1.使内网 172.16.20.0 网段通过PAT地址 转换 上外网 

                         2. 使内网 172.16.10.0 配置***虚拟专用网,可以访问总部 web服务器 



5.配置思路 : 首先配置边界设备R2,R3,R4  ,R1的ip地址,其次在配置各个终端ip地址,在R2配置静态路由使内网互通,再配置去往外网的默认路由,然后配置pat地址转换,使内网 172.16.20.0 网段可以上公网,最后配置***,使内网 172.16.10.0 网段,可以访问总公司的WEB服务器



6. 操作步骤 :  

                      #  首先配置R2 ,R1 R3 R4 的ip地址  

                         # 配置R 2的ip地址 

                           inteface fa0/0 

                              ip address 100.0.0.1 255.255.255.0 

                                no shutdown 

                           interface fa0/1 

                               ip address 192.168.11.2 255.255.255.0

                                 no shutdown 

                         # 配置 R1的ip 地址  

                                interface  g0/0

                                  ip address 192.168.11.1 255.255.255.0 

                                    no shutdown 

                              interface g0/1

                                   ip address 172.16.20.254 255.255.255.0

                                          no shutdown 

                               interface g0/2

                                 ip address 172.16.10.254 255.255.255.0 

                                   no shutdown 

                   # 配置 R3的ip地址 

                         interface fa0/0

                           ip address 100.0.0.2 255.255.255.0

                               no shutdown 

                        interface fa0/1

                          ip address 200.0.0.1 255.255.255.0

                             no shutdown 

               #配置R4的ip地址

                       interface fa0/1

                            ip address 200.0.0.2 255.255.255.0

                               no shutdown 

                        interface fa0/0 

                            ip address 10.10.33.254 255.255.255.0

                                no shutdown 

  #接小来配置各个终端的ip地址

    #  配置pc1的ip地址 

           ip address 172.16.20.1 255.255.255.0

                gateway 172.16.20.254

           配置pc2的ip地址 

             ip  address 172.16.10.1 255.255.255.0

               gateway  172.16.10. 254 

             

#在R2上配置去往内网172.16.10.0 / 172.16.20.0 的静态路由,使内网互通  

ip route 172.16.10.0 255.255.255.0 192.168.11.1 

ip route 172.16.20.0 255.255.255.0 192.168.11.1

用ping  192.168.11.2 测试 ,如下图所示 :


   思科,*** 配置实现_第2张图片


#接下来在边界设备R1上配置PAT地址转化,以及默认路由,使内网 172.16.20.0转化出去,可以上网 

   interface f0/0 

    ip nat outside 

  

  interface f0/1 

  ip nat inside 


  access list 1 permit 192.168.20.0   0.0.0.255  

  ip nat inside source  list 1  interface  f0/0  overload 

 

验证与测试 ping 200.0.0.1  ,如下图所示 

 

  

 思科,*** 配置实现_第3张图片



 建立ipsec vpn需要三个步骤

                  流量触发 ipsec

                  建立管理连接 (阶段1)

                  建立数据连接 (阶段2 )

                  思科,*** 配置实现_第4张图片


# 接下来在两个边界设备上配置***  

  

 #在R2上配置*** 

     #配置 isakmp 策略

       # crypto isakmp policy 1  //建立加密策略 1

                  encryption 3des  // 采用 3des 加密

                     hash  sha     // 哈希采用sha 验证,不是加密

                        authentication pre-share  //采用欲共享密钥认证方式

                          group 2    //指定dh加密算法的长度,第二组的长度

                    crypto isakmp key tedu address 200.0.0.2  //key后面是密码, address 后面是对端外网地址, 

          #配置 acl 

            access-list 100 permit ip  172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255 

          #

       

          #配置ipsec策略(转换集)


              crypto ipsec transform-set yf-set esp-des des-sha-hmac //创建变换集,yf-set ,后面两项为加密传输的算法  

           # 配置加密 映射集 

                  crypto  map yf-map 1 ipsec-isakmp  //创建加密图 yf-map  序列号为1 

                        set peer 200.0.0.1  //*** 隧道对端的ip地址

                  set transform-set yf-set  

                     match address  100 

                     interface f0/0

                      crypto map yf-map 


          # 在总公司R3配置***               

                   

            #配置 isakmp 策略

             # crypto isakmp policy 1 

                    encryption 3des 

                     hash  sha 

                        authentication pre-share 

                          group 2 

                    crypto isakmp key tedu address 100.0.0.1

          #配置 acl 

            access-list 100 permit ip  10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255

       

          #配置ipsec策略(转换集)

              crypto ipsec transform-set yf-set esp-des des-sha-hmac //

           # 配置加密 映射集 

                  crypto  map yf-map 1 ipsec-isakmp 

                        set peer 100.0.0.1

                  set transform-set yf-set 

                     match address  100 

                     interface f0/1

                      crypto map yf-map 

 验证与测试 :在内网 pc2 上输入 : http :// 10.10.33.1  ,如下图所示 


思科,*** 配置实现_第5张图片


# show  crypto  isakmp  sa  //查看链接状态 


    思科,*** 配置实现_第6张图片

#以上图示说明***建立成功 


实验 2  :配置内网 172.16.10.0 网段通过pat地址转换,可以上网,不能够访问web服务器

             

                 #access -list 2 perimit 172.16.10.0     0.0.0.255 

               

                    ip nat inside source list 2 interface f0/0 overload 

                      interface f0/0 

                          ip nat outside 

  

                           interface f0/1 

                                  ip nat inside 

             


          验证与测试:

          ping 10.10.33.1  ,如下图所示


                    思科,*** 配置实现_第7张图片


                  ping 100.0.0.2 

                           思科,*** 配置实现_第8张图片


          # 以上图示说明测试成功 


     ----------------------------------------------------------------------------------------------------------------------------------------------------

                  END