返回
CISCO IPsec NAT 穿越

CISCO IPsec NAT 穿越

ID:39547698

大小:75.00 KB

页数:5页

时间:2019-07-06

CISCO IPsec NAT 穿越_第1页
CISCO IPsec NAT 穿越_第2页
CISCO IPsec NAT 穿越_第3页
CISCO IPsec NAT 穿越_第4页
CISCO IPsec NAT 穿越_第5页
资源描述:

《CISCO IPsec NAT 穿越》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、CISCOIPsecNAT穿越一.案例拓扑二.需求分析:如图,R2是BNET公司上海总公司的路由器,R1是BNET公司苏州分公司路由器,ISP1是长宽的路由,ISP2是电信路由器。R2的外部地址是公网地址,R1的外部地址是私网地址。在实际的工程中我们遇到这种问题太正常了,但恰好我们又需要在R1和R2之间建立IPSECVPN。NAT和IPSEC是互相冲突的,因为IPSEC保护私网地址和传输层内容,而NAT需要改这些。在CISCO设备中,我们只需要一条命令就可以解决这样的问题。R(config)#cryptoisakmpnatkeeplive60它自

2、动检测是否经过NAT设备,如果发现时NAT设备,则用UDP封装。三.配置参数1.R1的配置hostnameR1cryptoisakmppolicy1//配置IKE策略,同普通IPSECVPNhashmd5authenticationpre-sharelifetime60cryptoisakmpkeyciscoaddress201.1.1.2cryptoisakmpnatkeepalive60//与普通IPSEC不同之处,在此启用IPSECNAT穿越,并且保持活跃的时间是60秒!!cryptoipsectransform-settran1esp-d

3、esesp-sha-hmac!cryptomapmap11ipsec-isakmpsetpeer201.1.1.2settransform-settran1matchaddress101!!!!interfaceSerial0/0ipaddress10.1.1.2255.255.255.0serialrestart-delay0cryptomapmap1//接口绑定IPSEC策略!interfaceSerial0/1noipaddressshutdownserialrestart-delay0!interfaceSerial0/2noipaddr

4、essshutdownserialrestart-delay0!interfaceSerial0/3noipaddressshutdownserialrestart-delay0!interfaceFastEthernet1/0ipaddress192.168.1.1255.255.255.0duplexautospeedauto!iphttpservernoiphttpsecure-server!iproute0.0.0.00.0.0.010.1.1.1!!access-list101permitip192.168.1.00.0.0.25519

5、2.168.2.00.0.0.255//配置IPSEC保护流1.ISP1的配置ISP1#showrunISP1#showrunning-confighostnameISP1interfaceSerial0/0ipaddress10.1.1.1255.255.255.0//这个地址不是私网地址ipnatinside//NAT的内部接口ipvirtual-reassemblyserialrestart-delay0!interfaceSerial0/1//公网地址ipaddress200.1.1.1255.255.255.252ipnatoutsid

6、e//NAT的外部接口ipvirtual-reassemblyserialrestart-delay0clockrate64000!iproute201.1.1.0255.255.255.252200.1.1.2//到201.1.1.0的路由,保证公网全网互通,真实化境中,我们应该跑路由协议的,并且ISP2是公网的边缘路由器,也可以使用默认路由!ipnatinsidesourcelist1interfaceSerial0/1overload//网络地址转换——PAT!access-list1permit10.1.1.00.0.0.255//允许访

7、问外部的内网地址2.ISP2的配置(没用的我给删掉了)Router#showrunning-configversion12.4hostnameRouter!nologgingconsoleinterfaceSerial0/0ipaddress200.1.1.2255.255.255.252serialrestart-delay0!interfaceSerial0/1ipaddress201.1.1.1255.255.255.252serialrestart-delay0!end小结:ISP2上有该公网区域全部路由,它什么也不用设置1.R2配置R2

8、#showrunning-configversion12.4!hostnameR2!cryptoisakmppolicy1//IKE策略

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。