今天我们来测试下LAN-TO-LAN的ipsec  *** 技术及ipsec *** 穿越nat的情况,实验拓扑如下

IPsec ×××_第1张图片

 

首先IKE 分为两个协商阶段 第一阶段主要是协商出安全的密钥以及为第二阶段服务的,他并不涉及真正的数据加密,第二阶段是在第一阶段基础上进行真正的数据加密,等下我们会以抓包的形势把这两个阶段展现出来。

配置步骤 1、配置IKE第一阶段

                   2、配置IKE第二阶段

                   3、配置crypto map做前面配置的汇总

                   4.、在接口下调用

                   5、配置感兴趣的流量,即被ipsec保护的流量

我们先把IKE协商过程抓包来分析一下

 

IPsec ×××_第2张图片

从抓包中可以清楚的看到IKE协商分为两个阶段,第一阶段为主模式为6个包,第二个阶段为快速模式为3个包,后面所有的数据都是通过ESP在进行加密的

正常情况下R2模拟的Internet只含有直连网段公网的路由是不会有两边私网路由的,其次Internet也不会路由私网地址的,所以两边的Lan是不会正常通信的,此时我们通过Ipsec ***打条隧道从R1到R3来实现两边Lan的互通,

配置和debug的详细调试信息我会上传到附件中,我们来测试下两边Lan的互通

 

可以看到两边通信正常,我们再来看下他走的路劲

IPsec ×××_第3张图片 

可以看到他只经过一跳就到了