路由器配置点到点IPSec VPN和故障排查

Posted 沉默不是罪

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了路由器配置点到点IPSec VPN和故障排查相关的知识,希望对你有一定的参考价值。

拓扑图:

路由器配置点到点IPSec

推荐步骤:

  • 路由器和PC机配置IP地址
  • R1和R2访问ISP的lo0接口配置默认路由,ISP访问PC1和PC2配置静态路由,测试全网互通
  • 在R1和R2路由器开启接口的NAT功能,PC1和PC2访问ISP的lo0接口使用基于接口的PAT
  • PC1和PC2通信数据通过IPSec VPN加密在R1和R2上配置IPSec VPN

实验步骤:

一、路由器和PC机配置IP地址

1、路由R1配置IP地址

1)给路由R1接口配置IP地址

R1(config)#interface fastEthernet 0/0

R1(config-if)#ip address 192.168.100.2 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#exit

R1(config)#interface fastEthernet 1/0           

R1(config-if)#ip address 192.168.10.1 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#end

2)查看R1接口配置的IP地址

路由器配置点到点IPSec

2、路由器R2配置IP地址

1)给路由器R2接口配置IP地址

R2(config)#interface fastEthernet 1/0

R2(config-if)#ip address 192.168.200.2 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#exit

R2(config)#interface fastEthernet 0/0

R2(config-if)#ip address 192.168.20.1 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#end

2)查看R2接口配置的IP地址

路由器配置点到点IPSec

3、路由器ISP配置IP地址

1)给ISP路由器接口配置IP地址

ISP(config)#interface loopback 0

ISP(config-if)#ip address 192.168.30.1 255.255.255.0

ISP(config-if)#exit

ISP(config)#interface fastEthernet 0/0

ISP(config-if)#ip address 192.168.100.1 255.255.255.0

ISP(config-if)#no shutdown

ISP(config-if)#exit

ISP(config)#interface fastEthernet 1/0           

ISP(config-if)#ip address 192.168.200.1 255.255.255.0

ISP(config-if)#no shutdown

ISP(config-if)#end

2)查看ISP路由器接口配置的IP地址

路由器配置点到点IPSec

4、PC1配置IP地址

1)关闭PC1计算机的路由功能和配置IP地址默认网关

PC1(config)#no ip routing

PC1(config)#interface fastEthernet 0/0

PC1(config-if)#ip address 192.168.10.2 255.255.255.0

PC1(config-if)#no shutdown

PC1(config-if)#exit

PC1(config)#ip default-gateway 192.168.10.1

2)查看PC1接口配置的IP地址

路由器配置点到点IPSec

5、PC2配置IP地址

1)关闭PC1计算机的路由功能和配置IP地址默认网关

PC2(config)#no ip routing

PC2(config)#interface fastEthernet 0/0

PC2(config-if)#ip address 192.168.20.2 255.255.255.0

PC2(config-if)#no shutdown 

PC2(config-if)#exit

PC2(config)#ip default-gateway 192.168.20.1

2)查看PC2接口配置的IP地址

路由器配置点到点IPSec

二、R1和R2访问ISP的lo0接口配置默认路由,ISP访问PC1和PC2配置静态路由,测试全网互通

1、R1和R2访问ISP的lo0接口配置默认路由

1)R1访问ISP的lo0接口配置默认路由

R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.1

2)R2访问ISP的lo0接口配置默认路由

R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.200.1

2、ISP访问PC1和PC2配置静态路由

1)ISP访问PC1配置静态路由

ISP(config)#ip route 192.168.10.0 255.255.255.0 192.168.100.2

2)ISP访问PC2配置静态路由

ISP(config)#ip route 192.168.20.0 255.255.255.0 192.168.200.2

3、查看路由的路由表验证全网互通

1)查看R1的路由表

路由器配置点到点IPSec

2)查看R2的路由表

路由器配置点到点IPSec

3)查看ISP路由器的路由表

路由器配置点到点IPSec

4)验证全网互通

路由器配置点到点IPSec

三、在R1和R2路由器开启接口的NAT功能,PC1和PC2访问ISP的lo0接口使用基于接口的PAT

1、开启R1路由器接口的NAT功能

1)开启outside接口的NAT

R1(config)#interface fastEthernet 0/0

R1(config-if)#ip nat outside

R1(config-if)#exit

2)开启inside接口NAT

R1(config)#interface fastEthernet 1/0              

R1(config-if)#ip nat inside

R1(config-if)#exit

2、R1配置访问控制列表识别NAT流量映射到接口

1)在R1创建访问访问控制列表识别NAT流量

R1(config)#access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

R1(config)#access-list 100 permit ip 192.168.10.0 0.0.0.255 any

2)在R1上配置NAT将流量映射到接口

R1(config)#ip nat inside source list 100 interface fastEthernet 0/0 overload

3、验证R1上的NAT

1)开启NAT跟踪

R1#debug ip nat

IP NAT debugging is on

2)使用PC1计算机ping路由器ISP的Lo0接口

路由器配置点到点IPSec

3)查看NAT地址转换跟踪

路由器配置点到点IPSec

4、开启R2路由器的NAT功能

1)开启outside接口的NAT

R2(config)#interface fastEthernet 1/0

R2(config-if)#ip nat outside

R2(config-if)#exit

2)开启inside接口NAT

R2(config)#interface fastEthernet 0/0             

R2(config-if)#ip nat inside

R2(config-if)#exit

5、R2配置访问控制列表识别NAT流量映射到接口

1)在R2创建访问访问控制列表识别NAT流量

R2(config)#access-list 100 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255

R2(config)#access-list 100 permit ip 192.168.20.0 0.0.0.255 any

2)在R2上配置NAT将流量映射到接口

R2(config)#ip nat inside source list 100 interface fastEthernet 1/0 overload

6、验证R2上的NAT

1)开启NAT跟踪

R2#debug ip nat

IP NAT debugging is on

2)使用PC2计算机ping路由器ISP的Lo0接口

路由器配置点到点IPSec

3) 查看NAT地址转换跟踪

路由器配置点到点IPSec

四、PC1和PC2通信数据通过IPSec VPN加密在R1和R2上配置IPSec VPN

1、R1配置IPSec VPN

1)配置对等体协商安全策略

R1(config)#crypto isakmp policy 1                   //安全策略编号为1

R1(config-isakmp)#encryption aes                   //加密算法aes

R1(config-isakmp)#authentication pre-share   //使用与共享密钥

R1(config-isakmp)#hash sha                           //验证使用sha

R1(config-isakmp)#group 5                             //设备验证使用

R1(config-isakmp)#lifetime 86400                    //保持时间24小时

R1(config-isakmp)#exit

2)配置域共享密钥为pwd@123,允许192.168.200.2建立IPSec VPN

R1(config)#crypto isakmp key 0 pwd@123 address 192.168.200.2

3)创建访问配置列表识别VPN的流量

R1(config)#access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

4) 配置传输集名字bj-set,指定加密使用aes验证使用sha

R1(config)#crypto ipsec transform-set bj-set esp-aes ah-sha-hmac

R1(cfg-crypto-trans)#exit

5) 配置crypty map调用协商策略、访问控制列表、传输集、对等体

R1(config)#crypto map bj-vpn 1 ipsec-isakmp

R1(config-crypto-map)#match address 101

R1(config-crypto-map)#set transform-set bj-set

R1(config-crypto-map)#set peer 192.168.200.2

6) 应用组策略到接口

R1(config)#interface fastEthernet 0/0

R1(config-if)#crypto map bj-vpn

R1(config-if)#

*Mar  1 00:21:32.727: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

R1(config-if)#end

2、R2配置IPSec VPN

1)配置对等体协商安全策略

R2(config)#crypto isakmp policy 1

R2(config-isakmp)#  encryption aes

R2(config-isakmp)#  authentication pre-share

R2(config-isakmp)#  hash sha

R2(config-isakmp)#  group 5

R2(config-isakmp)#  lifetime 86400

R2(config-isakmp)#  exit

2)配置域共享密钥为pwd@123,允许192.168.100.2建立IPSec VPN

R2(config)#crypto isakmp key 0 pwd@123 address 192.168.100.2

3)创建访问配置列表识别VPN的流量

R2(config)#access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255

4)配置传输集指定名字bj-set,指定加密使用aes验证使用sha

R2(config)#crypto ipsec transform-set sh-set esp-aes ah-sha-hmac

R2(cfg-crypto-trans)#exit

5)配置crypty map调用协商策略、访问控制列表、传输集、对等体

R2(config)#crypto map sh-vpn 1 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer

        and a valid access list have been configured.

R2(config-crypto-map)#match address 101

R2(config-crypto-map)#set transform-set sh-set

R2(config-crypto-map)#set peer 192.168.100.2

R2(config-crypto-map)#exit

6)应用组策略到接口

R2(config)#interface fastEthernet 1/0

R2(config-if)#crypto map sh-vpn

R2(config-if)#end

R2#

*Mar  1 00:25:33.355: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

R2#

3、验证IPSec VPN

1)PC1访问PC2触发流量

路由器配置点到点IPSec

2)查看IPSec VPN连接状态

路由器配置点到点IPSec

3)PC2访问PC触发流量

路由器配置点到点IPSec

4)查看IPSec VPN连接状态

路由器配置点到点IPSec

4、验证NAT流量

1)PC1访问ISP的lo0接口走NAT转换

路由器配置点到点IPSec

路由器配置点到点IPSec

2)PC2访问ISP的lo0接口走NAT转换

路由器配置点到点IPSec

路由器配置点到点IPSec

3)查看对等体和IPSec VPN密码

路由器配置点到点IPSec

4)查看传输的数据包

路由器配置点到点IPSec

5)查看安全策略信息

路由器配置点到点IPSec

6)查看协商状态

路由器配置点到点IPSec

以上是关于路由器配置点到点IPSec VPN和故障排查的主要内容,如果未能解决你的问题,请参考以下文章

路由器配置点到多点IPSec VPN故障排查

Cisco ASA 实现 IPSec 虚拟专用网(内附故障排查)

总部与分支机构之间建立点到点IPSec ***(预共享密钥认证)

aws配置点到点vpn隧道

路由器配置点到多点IPsec VPN

IPsec VPN详解--验证配置