因为公司战略需要,需要建立一个总部--分公司---分公司所属机构的网络架构,所以特意使用ios做了一次这样的实验。实验平台使用eve-ng。
    拓扑如图所示:

分公司到总部的ipsec***_第1张图片
场景说明:
1.总部的外网是使用固定的IP地址。
2.分公司1有两条外网两个都是固定ip,分别是fa1/0和fa0/0。
3.分公司下属异地工程部使用的是adsl接入isp,接口是fa0(虽然图中是固定地址,但是效果也是一样的。)
4.现在要求的是分公司下属异地工程部要走分公司1的线路访问总部的服务器vpc。
如图所示:
分公司到总部的ipsec***_第2张图片

    思路:
    1.总部和分公司1的外网是固定ip地址的,所以我们可以使用gre进行对接,对于链路的稳定性来说是有保障。(不得不吐槽之前的那个it做的架构太差了,看了想打人。)
    2.其实分公司的异地工程部也可以直接使用ipsec***接入总部的边界路由,但是由于点数比较多,避免总部设备高负载,所以需要使用异地工程部接入分公司再访问总部的访问方式。
    3.如果以后有需要的话异地工程部也可以访问分公司系统。

  步骤:
    1.先建立总部和分公司的连接,因为总部和分公司使用gre,我们可以使用ospf进行路由。
总部配置:

interface Tunnel0
ip address 10.0.0.1 255.255.255.0
tunnel source FastEthernet0/1
tunnel destination 221.4.195.2
!
interface Tunnel1 //使用gre对接到分公司。
ip address 10.0.1.1 255.255.255.0
tunnel source FastEthernet0/1
tunnel destination 121.4.195.2
!
interface FastEthernet0/0
ip address 192.168.16.1 255.255.255.0
speed auto
full-duplex
!
interface FastEthernet0/1
ip address 222.4.195.2 255.255.255.0
speed auto
full-duplex
no cdp enable
!
interface FastEthernet1/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet2/0
no ip address
shutdown
duplex auto
speed auto
!
router ospf 1
log-adjacency-changes
network 10.0.0.0 0.0.0.255 area 0
network 10.0.1.0 0.0.0.255 area 0
network 192.168.16.0 0.0.0.255 area 0
default-information originate
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 222.4.195.1

    分公司配置

interface Tunnel0 //使用gre对接到总公司的tun1
ip address 10.0.1.2 255.255.255.0
tunnel source FastEthernet1/0
tunnel destination 222.4.195.2
!
interface FastEthernet0/0
ip address 1.1.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
crypto map tob
!
interface FastEthernet0/1
ip address 192.168.160.1 255.255.255.128
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface FastEthernet1/0
ip address 121.4.195.2 255.255.255.0
duplex auto
speed auto
no cdp enable
!
interface FastEthernet2/0
no ip address
shutdown
duplex auto
speed auto
!
router ospf 1
log-adjacency-changes
redistribute static subnets //重分布异地工程部的静态路由
network 10.0.1.0 0.0.0.255 area 0
network 192.168.160.0 0.0.0.127 area 3
default-information originate
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 121.4.195.1
ip route 192.168.160.128 255.255.255.128 1.1.1.2 //到异地工程部的路由
!
ip http server
no ip http secure-server
ip nat inside source list 100 interface FastEthernet0/0 overload
!
access-list 100 deny ip 192.168.160.0 0.0.0.127 192.168.160.128 0.0.0.127 //到异地工程部的非nat流量
access-list 100 permit ip any any

  1. 分公司的ipsec-***的被动配置
    分公司路由配置:
    crypto isakmp policy 1
    encr 3des //注意路由器版本,k8版本好像是没有3des的加密的哈
    hash md5
    authentication pre-share
    group 2
    crypto isakmp key 1q2w address 0.0.0.0 0.0.0.0 //接受来自所有地址的验证
    !
    !
    crypto ipsec transform-set tran esp-3des esp-md5-hmac
    !
    crypto dynamic-map mymap 10
    set transform-set tran
    !
    !
    crypto map tob 100 ipsec-isakmp dynamic mymap discover
    .
    interface FastEthernet0/0
    ip address 1.1.1.1 255.255.255.0
    ip nat outside
    ip virtual-reassembly
    duplex auto
    speed auto
    no cdp enable
    crypto map tob //引用到fa0/0接口

    异地工程部通用配置部分:
    interface Ethernet0
    ip address 192.168.160.129 255.255.255.128
    ip nat inside
    ip virtual-reassembly
    half-duplex
    no cdp enable
    !
    interface FastEthernet0
    ip address 1.1.1.2 255.255.255.0
    ip nat outside
    ip virtual-reassembly
    speed auto
    crypto map tojt
    !
    ip forward-protocol nd
    ip route 0.0.0.0 0.0.0.0 1.1.1.1 //链路只有一条,全部走这个就对了
    no ip http server
    no ip http secure-server
    !
    ip nat inside source list 100 interface FastEthernet0 overload
    access-list 100 deny ip 192.168.160.128 0.0.0.127 192.168.160.0 0.0.0.127 //分公司流量不转换
    access-list 100 deny ip 192.168.160.128 0.0.0.127 192.168.16.0 0.0.0.255 //去总部流量不转换
    access-list 100 permit ip any any

异地工程部ipsec***部分:
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key 1q2w address 1.1.1.1 //对端iskamp认证地址及口令
!
!
crypto ipsec transform-set jc-branch esp-3des esp-md5-hmac
!
!
crypto map tojt 1 ipsec-isakmp
set peer 1.1.1.1
set transform-set jc-branch
match address 110 //到分公司敏感流量
crypto map tojt 2 ipsec-isakmp
set peer 1.1.1.1
set transform-set jc-branch
match address 120 //到总公司敏感流量

access-list 110 permit ip 192.168.160.128 0.0.0.127 192.168.160.0 0.0.0.127
access-list 120 permit ip 192.168.160.128 0.0.0.127 192.168.16.0 0.0.0.255

异地工程部客户端及测试:

VPCS> sh ip

NAME : VPCS[1]
IP/MASK : 192.168.160.130/25
GATEWAY : 192.168.160.129
DNS :
MAC : 00:50:79:66:68:0a
LPORT : 20000
RHOST:PORT : 127.0.0.1:30000
MTU : 1500

VPCS> ping 192.168.160.2

84 bytes from 192.168.160.2 icmp_seq=1 ttl=62 time=121.675 ms
84 bytes from 192.168.160.2 icmp_seq=2 ttl=62 time=35.919 ms
84 bytes from 192.168.160.2 icmp_seq=3 ttl=62 time=58.214 ms
84 bytes from 192.168.160.2 icmp_seq=4 ttl=62 time=57.331 ms
84 bytes from 192.168.160.2 icmp_seq=5 ttl=62 time=55.250 ms

VPCS> ping 192.168.16.2

84 bytes from 192.168.16.2 icmp_seq=1 ttl=61 time=95.665 ms
84 bytes from 192.168.16.2 icmp_seq=2 ttl=61 time=116.828 ms
84 bytes from 192.168.16.2 icmp_seq=3 ttl=61 time=87.677 ms
84 bytes from 192.168.16.2 icmp_seq=4 ttl=61 time=118.399 ms
84 bytes from 192.168.16.2 icmp_seq=5 ttl=61 time=87.571 ms

测试通过了。
但是想告诉大家,虽然测试通过了,但是要通过监控系统进行检测还是需要将lifttime配置上,要不然的话没有敏感流量通过就不会保持连接状态,监控系统会报错。