华三模拟器(路由器)实现ipsec穿越NAT实验
生活随笔
收集整理的這篇文章主要介紹了
华三模拟器(路由器)实现ipsec穿越NAT实验
小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.
實驗拓撲
接口及路由配置省略,R1和R3配置默認路由即可實現(xiàn)公網(wǎng)互通(測試兩端公網(wǎng)互通即可開始操作)
接下來主要配置IPSEC VPN,如下配置
R1配置
R1配置步驟一:在R1上創(chuàng)建感興趣流,匹配兩端私網(wǎng)地址網(wǎng)段 [R1] acl advanced 3500 [R1] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255步驟二:在 R1 上創(chuàng)建IKE提議,配置驗證模式為預共享密鑰,并配置加密算法 [R1]ike proposal 1 [R1-ike-proposal-1]authentication-method pre-share [R1-ike-proposal-1]encryption-algorithm aes-cbc-128步驟三:在 R1 上創(chuàng)建預共享密鑰 [R1]ike keychain r3 [R1-ike-keychain-r3]pre-shared-key address 2.2.2.2 key simple 123456步驟四:在 R1 上創(chuàng)建 IKE Profile,指定本端和對端公網(wǎng)地址,并調用預共享密鑰和 IKE 提議 [R1]ike profile r3 [R1-ike-profile-r3]keychain r3 [R1-ike-profile-r3]local-identity address 1.1.1.1 [R1-ike-profile-r3]match remote identity address 2.2.2.2 [R1-ike-profile-r3]proposal 1步驟五:在 R1 上創(chuàng)建IPsec 轉換集,配置加密和驗證算法。由于工作模式默認是隧道模式,且協(xié)議默認使用 ESP,所以無需配置 [R1]ipsec transform-set r3 [R1-ipsec-transform-set-r3]esp authentication-algorithm sha1 [R1-ipsec-transform-set-r3]esp encryption-algorithm aes-cbc-128步驟六:在 R1 上創(chuàng)建 IPsec 策略,調用上述配置 [R1]ipsec policy r3 1 isakmp [R1-ipsec-policy-isakmp-r3-1]security acl 3500 [R1-ipsec-policy-isakmp-r3-1]ike-profile r3 [R1-ipsec-policy-isakmp-r3-1]transform-set r3 [R1-ipsec-policy-isakmp-r3-1]remote-address 2.2.2.2步驟七:在 R1 的公網(wǎng)接口上下發(fā) IPsec 策略 [R1-GigabitEthernet0/0]ipsec apply policy r3R2配置
R2配置步驟一:在R2上創(chuàng)建感興趣流,匹配兩端私網(wǎng)地址網(wǎng)段 [R2]acl advanced 3500 [R2]rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255步驟二:在 R2 上創(chuàng)建IKE提議,配置驗證模式為預共享密鑰,并配置加密算法 [R2]ike proposal 1 [R2-ike-proposal-1]authentication-method pre-share [R2-ike-proposal-1]encryption-algorithm aes-cbc-128步驟三:在 R2 上創(chuàng)建預共享密鑰 [R2]ike keychain r1 [R2-ike-keychain-r1]pre-shared-key address 1.1.1.1 key simple 123456步驟四:在 R2 上創(chuàng)建 IKE Profile,指定本端和對端公網(wǎng)地址,并調用預共享密鑰和 IKE 提議 [R2]ike profile r1 [R2-ike-profile-r1]keychain r1 [R2-ike-profile-r1]local-identity address 2.2.2.2 [R2-ike-profile-r1]match remote identity address 1.1.1.1 [R2-ike-profile-r1]proposal 1步驟五:在 R2 上創(chuàng)建IPsec 轉換集,配置加密和驗證算法。由于工作模式默認是隧道模式,且協(xié)議默認使用 ESP,所以無需配置 [R2]ipsec transform-set r1 [R1-ipsec-transform-set-r1]esp authentication-algorithm sha1 [R1-ipsec-transform-set-r1]esp encryption-algorithm aes-cbc-128步驟六:在 R2 上創(chuàng)建 IPsec 策略,調用上述配置 [R2]ipsec policy r1 1 isakmp [R2-ipsec-policy-isakmp-r1-1]security acl 3500 [R2-ipsec-policy-isakmp-r1-1]ike-profile r1 [R2-ipsec-policy-isakmp-r1-1]transform-set r1 [R2-ipsec-policy-isakmp-r1-1]remote-address 1.1.1.1步驟七:在 R2 的公網(wǎng)接口上下發(fā) IPsec 策略 [R2-GigabitEthernet0/0]ipsec apply policy r1此時配置到這里,IPSEC全部結束,你以為就能互通了嘛,太天真了
測試
哈哈是不是不通,分析原理其實是IPSEC的acl與NAT的acl沖突。 解決方法是在NAT的acl中拒絕ipsec的acl,讓他不進行nat轉換修改ACL
R1上修改 rule 4 deny ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 (2 times matched) rule 5 permit ip source 192.168.1.0 0.0.0.255 (3 times matched)R3上修改 rule 4 deny ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 5 permit ip source 172.16.1.0 0.0.0.255 (2 times matched)實驗結果
PC_4與PC_5成功互訪ike sa
display ike saipsec sa
display ipsec sa路由器的ipsec穿越NAT很簡單,下一篇文章我看能不能把防火墻的放出來。因為上午上課防火墻的ipsec穿越NAT實驗沒做出來,其實
都大差不差可能防火墻的策略問題吧,研究一下。
實驗報告下載地址
總結
以上是生活随笔為你收集整理的华三模拟器(路由器)实现ipsec穿越NAT实验的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 今天发现的一个小问题,找不到模拟器和手机
- 下一篇: android 电脑 手柄游戏排行榜,各