路由器配置点到点IPSec VPN和故障排查

Posted 沉默不是罪

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了路由器配置点到点IPSec VPN和故障排查相关的知识,希望对你有一定的参考价值。

拓扑图:

路由器配置点到点IPSec

推荐步骤:

  • 路由器和PC机配置IP地址
  • R1和R2访问ISP的lo0接口配置默认路由,ISP访问PC1和PC2配置静态路由,测试全网互通
  • 在R1和R2路由器开启接口的NAT功能,PC1和PC2访问ISP的lo0接口使用基于接口的PAT
  • PC1和PC2通信数据通过IPSec VPN加密在R1和R2上配置IPSec VPN

实验步骤:

一、路由器和PC机配置IP地址

1、路由R1配置IP地址

1)给路由R1接口配置IP地址

R1(config)#interface fastEthernet 0/0

R1(config-if)#ip address 192.168.100.2 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#exit

R1(config)#interface fastEthernet 1/0           

R1(config-if)#ip address 192.168.10.1 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#end

2)查看R1接口配置的IP地址

路由器配置点到点IPSec

2、路由器R2配置IP地址

1)给路由器R2接口配置IP地址

R2(config)#interface fastEthernet 1/0

R2(config-if)#ip address 192.168.200.2 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#exit

R2(config)#interface fastEthernet 0/0

R2(config-if)#ip address 192.168.20.1 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#end

2)查看R2接口配置的IP地址

路由器配置点到点IPSec

3、路由器ISP配置IP地址

1)给ISP路由器接口配置IP地址

ISP(config)#interface loopback 0

ISP(config-if)#ip address 192.168.30.1 255.255.255.0

ISP(config-if)#exit

ISP(config)#interface fastEthernet 0/0

ISP(config-if)#ip address 192.168.100.1 255.255.255.0

ISP(config-if)#no shutdown

ISP(config-if)#exit

ISP(config)#interface fastEthernet 1/0           

ISP(config-if)#ip address 192.168.200.1 255.255.255.0

ISP(config-if)#no shutdown

ISP(config-if)#end

2)查看ISP路由器接口配置的IP地址

路由器配置点到点IPSec

4、PC1配置IP地址

1)关闭PC1计算机的路由功能和配置IP地址默认网关

PC1(config)#no ip routing

PC1(config)#interface fastEthernet 0/0

PC1(config-if)#ip address 192.168.10.2 255.255.255.0

PC1(config-if)#no shutdown

PC1(config-if)#exit

PC1(config)#ip default-gateway 192.168.10.1

2)查看PC1接口配置的IP地址

路由器配置点到点IPSec

5、PC2配置IP地址

1)关闭PC1计算机的路由功能和配置IP地址默认网关

PC2(config)#no ip routing

PC2(config)#interface fastEthernet 0/0

PC2(config-if)#ip address 192.168.20.2 255.255.255.0

PC2(config-if)#no shutdown 

PC2(config-if)#exit

PC2(config)#ip default-gateway 192.168.20.1

2)查看PC2接口配置的IP地址

路由器配置点到点IPSec

二、R1和R2访问ISP的lo0接口配置默认路由,ISP访问PC1和PC2配置静态路由,测试全网互通

1、R1和R2访问ISP的lo0接口配置默认路由

1)R1访问ISP的lo0接口配置默认路由

R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.1

2)R2访问ISP的lo0接口配置默认路由

R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.200.1

2、ISP访问PC1和PC2配置静态路由

1)ISP访问PC1配置静态路由

ISP(config)#ip route 192.168.10.0 255.255.255.0 192.168.100.2

2)ISP访问PC2配置静态路由

ISP(config)#ip route 192.168.20.0 255.255.255.0 192.168.200.2

3、查看路由的路由表验证全网互通

1)查看R1的路由表

路由器配置点到点IPSec

2)查看R2的路由表

路由器配置点到点IPSec

3)查看ISP路由器的路由表

路由器配置点到点IPSec

4)验证全网互通

路由器配置点到点IPSec

三、在R1和R2路由器开启接口的NAT功能,PC1和PC2访问ISP的lo0接口使用基于接口的PAT

1、开启R1路由器接口的NAT功能

1)开启outside接口的NAT

R1(config)#interface fastEthernet 0/0

R1(config-if)#ip nat outside

R1(config-if)#exit

2)开启inside接口NAT

R1(config)#interface fastEthernet 1/0              

R1(config-if)#ip nat inside

R1(config-if)#exit

2、R1配置访问控制列表识别NAT流量映射到接口

1)在R1创建访问访问控制列表识别NAT流量

R1(config)#access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

R1(config)#access-list 100 permit ip 192.168.10.0 0.0.0.255 any

2)在R1上配置NAT将流量映射到接口

R1(config)#ip nat inside source list 100 interface fastEthernet 0/0 overload

3、验证R1上的NAT

1)开启NAT跟踪

R1#debug ip nat

IP NAT debugging is on

2)使用PC1计算机ping路由器ISP的Lo0接口

路由器配置点到点IPSec

3)查看NAT地址转换跟踪

路由器配置点到点IPSec

4、开启R2路由器的NAT功能

1)开启outside接口的NAT

R2(config)#interface fastEthernet 1/0

R2(config-if)#ip nat outside

R2(config-if)#exit

2)开启inside接口NAT

R2(config)#interface fastEthernet 0/0             

R2(config-if)#ip nat inside

R2(config-if)#exit

5、R2配置访问控制列表识别NAT流量映射到接口

1)在R2创建访问访问控制列表识别NAT流量

R2(config)#access-list 100 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255

R2(config)#access-list 100 permit ip 192.168.20.0 0.0.0.255 any

2)在R2上配置NAT将流量映射到接口

R2(config)#ip nat inside source list 100 interface fastEthernet 1/0 overload

6、验证R2上的NAT

1)开启NAT跟踪

R2#debug ip nat

IP NAT debugging is on

2)使用PC2计算机ping路由器ISP的Lo0接口

路由器配置点到点IPSec

3) 查看NAT地址转换跟踪

路由器配置点到点IPSec

四、PC1和PC2通信数据通过IPSec VPN加密在R1和R2上配置IPSec VPN

1、R1配置IPSec VPN

1)配置对等体协商安全策略

R1(config)#crypto isakmp policy 1                   //安全策略编号为1

R1(config-isakmp)#encryption aes                   //加密算法aes

R1(config-isakmp)#authentication pre-share   //使用与共享密钥

R1(config-isakmp)#hash sha                           //验证使用sha

R1(config-isakmp)#group 5                             //设备验证使用

R1(config-isakmp)#lifetime 86400                    //保持时间24小时

R1(config-isakmp)#exit

2)配置域共享密钥为pwd@123,允许192.168.200.2建立IPSec VPN

R1(config)#crypto isakmp key 0 pwd@123 address 192.168.200.2

3)创建访问配置列表识别VPN的流量

R1(config)#access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

4) 配置传输集名字bj-set,指定加密使用aes验证使用sha

R1(config)#crypto ipsec transform-set bj-set esp-aes ah-sha-hmac

R1(cfg-crypto-trans)#exit

5) 配置crypty map调用协商策略、访问控制列表、传输集、对等体

R1(config)#crypto map bj-vpn 1 ipsec-isakmp

R1(config-crypto-map)#match address 101

R1(config-crypto-map)#set transform-set bj-set

R1(config-crypto-map)#set peer 192.168.200.2

6) 应用组策略到接口

R1(config)#interface fastEthernet 0/0

R1(config-if)#crypto map bj-vpn

R1(config-if)#

*Mar  1 00:21:32.727: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

R1(config-if)#end

2、R2配置IPSec VPN

1)配置对等体协商安全策略

R2(config)#crypto isakmp policy 1

R2(config-isakmp)#  encryption aes

R2(config-isakmp)#  authentication pre-share

R2(config-isakmp)#  hash sha

R2(config-isakmp)#  group 5

R2(config-isakmp)#  lifetime 86400

R2(config-isakmp)#  exit

2)配置域共享密钥为pwd@123,允许192.168.100.2建立IPSec VPN

R2(config)#crypto isakmp key 0 pwd@123 address 192.168.100.2

3)创建访问配置列表识别VPN的流量

R2(config)#access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255

4)配置传输集指定名字bj-set,指定加密使用aes验证使用sha

R2(config)#crypto ipsec transform-set sh-set esp-aes ah-sha-hmac

R2(cfg-crypto-trans)#exit

5)配置crypty map调用协商策略、访问控制列表、传输集、对等体

R2(config)#crypto map sh-vpn 1 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer

        and a valid access list have been configured.

R2(config-crypto-map)#match address 101

R2(config-crypto-map)#set transform-set sh-set

R2(config-crypto-map)#set peer 192.168.100.2

R2(config-crypto-map)#exit

6)应用组策略到接口

R2(config)#interface fastEthernet 1/0

R2(config-if)#crypto map sh-vpn

R2(config-if)#end

R2#

*Mar  1 00:25:33.355: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

R2#

3、验证IPSec VPN

1)PC1访问PC2触发流量

路由器配置点到点IPSec

2)查看IPSec VPN连接状态

路由器配置点到点IPSec

3)PC2访问PC触发流量

路由器配置点到点IPSec

4)查看IPSec VPN连接状态

路由器配置点到点IPSec

4、验证NAT流量

1)PC1访问ISP的lo0接口走NAT转换

路由器配置点到点IPSec

路由器配置点到点IPSec

2)PC2访问ISP的lo0接口走NAT转换

路由器配置点到点IPSec

路由器配置点到点IPSec

3)查看对等体和IPSec VPN密码

路由器配置点到点IPSec

4)查看传输的数据包

路由器配置点到点IPSec

5)查看安全策略信息

路由器配置点到点IPSec

6)查看协商状态

路由器配置点到点IPSec

以上是关于路由器配置点到点IPSec VPN和故障排查的主要内容,如果未能解决你的问题,请参考以下文章