[原创]×××实验一:IOS Site-to-Site
夏天 发表于: 2009-1-07 14:24 来源: 芜湖网络人
先介绍下
Site to site ×××
的用途,一是公司与子公司之间互通这个用的最多,它一般同时还与
NAT
同时使用;二是对公司内二个网段之间互通。
一、实验拓扑:
总公司
R1
使用内网
10.100.92.0
网段;
R2
模拟
Internet
接入商接口;子公司
R3
使用内网
192.168.3.0
网段,我们要实现子公司用户能访问总子公内的资源。
s2s***.png
1 、将 R1 、 R2 、 R3 ,接口 IP 及路由配通;意味着公司与子公司之间的公网连接已通。
R1(config)#int lo0
R1(config-if)#ip add 10.100.92.1 255.255.255.0
R1(config)#int s1/0
R1(config-if)#ip add 218.1.2.1255.255.255.252
R1(config-if)#no shut
R1(config)#ip router 0.0.0.00.0.0.0 218.1.2.2
R1#wr
R2(config)#int s1/0
R2(config-if)#ip add 218.1.2.2 255.255.255.252
R2(config)#int s1/1
R2(config-if)#ip add 220.2.3.1255.255.255.252
R2(config-if)#no shut
R2(config)#wr
R3(config)#int lo0
R3(config-if)#ip add 192.168.3.1255.255.255.0
R3(config)#int s1/0
R3(config-if)#ip add 220.2.3.2255.255.255.252
R3(config-if)#no shut
R3(config)#ip router 0.0.0.00.0.0.0 220.2.3.1
R3(config)#wr
现在公网之间应该是通了,我们测试一下,如果不通大家请检查下。
R1#ping 218.1.2.2
R1#ping 220.2.3.2
R3#ping 220.2.3.1
R3#ping 218.1.2.1
这时我们从内网
ping
是不通的测试一下:
R1#ping ip 192.168.3.1 source10.100.92.1
二、配置
×××
使二个内网能共享资源
1
)、第一步配置
IKE
策略
R1(config)#crypto isakmp policy 10
定义
10
号策略;
R1(config-isakmp)#encr 3des
加密方式使用
3des
;
R1(config-isakmp)#hash md5
摘要使用
md5
;
R1(config-isakmp)#authenticationpre-share
认证使用预共享;
R1(config-isakmp)#group 2
使用
2
号组
D
-
H
算法;
R1(config-isakmp)#exit
2
)、第二步设置预共享密钥
R1(config-isakmp)#cypto isakmp cisco123 address 220.2.3.2
3
)、第三步设置传输集
R1(config)#crypto ipsectransform-set ccsp esp-des esp-md5-hmac
R1(cfg-crypto-trans)#mode tunnel
4 )、第四步配置映射
R1(config)#crypto map cisco 10ipsec-isakmp
R1(config-crypto-map)#set peer 220.2.3.2
R1(config-crypto-map)#settransform-set ccsp
R1(config-crypto-map)#match address101
R1(config)#access-list 101 permitip 10.100.92.0 0.0.0.255 192.168.3.0 0.0.0.255
5 )、第五步应用到接口
R1(config)#interface Serial1/0
R1(config-if)#crypto map Cisco
六)、对子公司路由器
R3
进行配置
1 )、第一步配置 IKE 策略
R3(config)#crypto isakmp policy 10
定义
10
号策略;
R3(config-isakmp)#encr 3des
加密方式使用
3des
;
R3(config-isakmp)#hash md5
摘要使用
md5
;
R3(config-isakmp)#authenticationpre-share
认证使用预共享;
R3(config-isakmp)#group 2
使用
2
号组
D
-
H
算法;
R3(config-isakmp)#exit
2 )、第二步设置预共享密钥
R3(config-isakmp)#cypto isakmp cisco123 address 218.1.2.1
3
)、第三步设置传输集
R3(config)#crypto ipsectransform-set ccsp esp-des esp-md5-hmac
R3(cfg-crypto-trans)#mode tunnel
4 )、第四步配置映射
R3(config)#crypto map cisco 10ipsec-isakmp
R3(config-crypto-map)#set peer 218.1.2.1
R3(config-crypto-map)#settransform-set ccsp
R3(config-crypto-map)#match address101
R3(config)#access-list 101 permitip 192.168.3.0 0.0.0.255 10.100.92.0 0.0.0.255
5
)、第五步应用到接口
R3(config)#interface Serial1/0
R3(config-if)#crypto map Cisco
OK
,完成配置,我们来检查下:
R1#sho crypto isakmp sa
应该可以看到
R3
的
IP
,并且是活跃连接的,没有也没关系我们激活它。
R1#ping ip 192.168.3.1 source10.100.92.1
这时我们应该可以
ping
通说明与子公司之间的
×××
连接建立起来了。
http://www.wh0553.net/bbs/thread-405-1-2.html
附:拓扑文件,IOS论坛FTP里有,选择带K的就可以
***.net