路由器配置点到多点IPSec VPN故障排查
Posted 沉默不是罪
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了路由器配置点到多点IPSec VPN故障排查相关的知识,希望对你有一定的参考价值。
拓扑图:
推荐步骤:
- 路由器接口配置IP地址
- R4配置静态路由到R1、R2、R3的Lo0接口,在R1、R2、R3、R4配置默认路由全网互通
- 在R1、R2、R3路由器配置NAT访问R4的Lo0接口
- 在R1北京路由、R2上海路由上配置IPSec VPN和R3深圳通信,当R1和R2的Lo0接口和R3的Lo0接口通信流量通过IPSec VPN转发,当R1、R2、R3路由器上的Lo0和R4路由器的Lo0通信通过NAT转发数据
实验步骤:
一、路由器接口配置IP地址
1、路由器R1配置IP地址
1)给路由R1接口配置IP地址
R1(config)#interface fastEthernet 0/0
R1(config-if)#ip address 192.168.14.2 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface loopback 0
R1(config-if)#ip address 192.168.10.1 255.255.255.0
R1(config-if)#end
2)查看R1路由器接口配置的IP地址
2、路由器R2配置IP地址
1)给路由器R2接口配置IP地址
R2(config)#interface fastEthernet 0/0
R2(config-if)#ip address 192.168.24.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#interface loopback 0
R2(config-if)#ip address 192.168.20.1 255.255.255.0
R2(config-if)#end
2)查看R2路由器接口配置的IP地址
3、路由器R3配置IP地址
1)给路由器R3接口配置IP地址
R3(config)#interface fastEthernet 0/0
R3(config-if)#ip address 192.168.34.2 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#interface loopback 0
R3(config-if)#ip address 192.168.30.1 255.255.255.0
R3(config-if)#end
2)查看R3路由接口配置的IP地址
4、路由器R4配置IP地址
1)给路由器R4接口配置IP地址
R4(config)#interface fastEthernet 0/0
R4(config-if)#ip address 192.168.14.1 255.255.255.0
R4(config-if)#no shutdown
R4(config-if)#exit
R4(config)#interface fastEthernet 1/0
R4(config-if)#ip address 192.168.24.1 255.255.255.0
R4(config-if)#no shutdown
R4(config-if)#exit
R4(config)#interface fastEthernet 2/0
R4(config-if)#ip address 192.168.34.1 255.255.255.0
R4(config-if)#no shutdown
R4(config-if)#exit
R4(config)#interface loopback 0
R4(config-if)#ip address 192.168.40.1 255.255.255.0
R4(config-if)#end
2)查看R4路由器接口配置的IP地址
二、R4配置静态路由到R1、R2、R3的Lo0接口,在R1、R2、R3、R4配置默认路由全网互通
1、在R4配置静态路由访问R1、R2、R3的Lo0接口
1)在R4配置静态路由
R4(config)#ip route 192.168.10.0 255.255.255.0 192.168.14.2
R4(config)#ip route 192.168.20.0 255.255.255.0 192.168.24.2
R4(config)#ip route 192.168.30.0 255.255.255.0 192.168.34.2
2)查看路由表
2、在R1路由器配置静态路由路由全网互通
1)在R1路由器配置默认路由
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.14.1
2)查看R1配置的默认路由
3、在R2路由器配置静态路由路由全网互通
1)在R2路由器配置默认路由
R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.24.1
2)查看R2配置的默认路由
4、在R3路由器配置静态路由路由全网互通
1)在R3路由器配置默认路由
R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.34.1
2)查看R3配置的默认路由
3)验证全网互通
三、在R1、R2、R3路由器配置NAT访问R4的Lo0接口
1、在R1配置NAT访问R4的Lo0进行地址转换
1)开启接口NAT功能
R1(config)#interface fastEthernet 0/0
R1(config-if)#ip nat outside
R1(config-if)#exit
R1(config)#interface loopback 0
R1(config-if)#ip nat outside
R1(config-if)#exit
2)创建访问控制列表识别NAT的流量
R1(config)#access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
R1(config)#access-list 100 permit ip 192.168.10.0 0.0.0.255 any
3)将访问控制列表识别流量映射到接口
R1(config)#ip nat inside source list 100 interface fastEthernet 0/0 overload
R1(config)#end
4)在R1开启NAT跟踪ping访问R4的Lo0接口查看转换
2、在R2配置NAT访问R4的Lo0进行地址转换
1)开启接口NAT功能
R2(config)#interface fastEthernet 0/0
R2(config-if)#ip nat outside
R2(config-if)#exit
R2(config)#interface loopback 0
R2(config-if)#ip nat outside
R2(config-if)#exit
2)创建访问控制列表识别NAT的流量
R2(config)#access-list 100 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
R2(config)#access-list 100 permit ip 192.168.20.0 0.0.0.255 any
3)将访问控制列表识别流量映射到接口
R2(config)#ip nat inside source list 100 interface fastEthernet 0/0 overload
R2(config)#end
4)在R2开启NAT跟踪ping访问R4的Lo0接口查看转换
3、在R3配置NAT访问R4的Lo0进行地址转换
1)开启接口NAT功能
R3(config)#interface fastEthernet 0/0
R3(config-if)#ip nat outside
R3(config-if)#exit
R3(config)#interface loopback 0
R3(config-if)#ip nat outside
R3(config-if)#exit
2)创建访问控制列表识别NAT的流量
R3(config)#access-list 100 deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
R3(config)#access-list 100 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
R3(config)#access-list 100 permit ip 192.168.30.0 0.0.0.255 any
3)将访问控制列表识别流量映射到接口
R3(config)#ip nat inside source list 100 interface fastEthernet 0/0 overload
R3(config)#end
4)在R3开启路由跟踪ping访问R4的Lo0接口查看转换
四、在R1北京路由、R2上海路由上配置IPSec VPN和R3深圳通信,当R1和R2的Lo0接口和R3的Lo0接口通信流量通过IPSec VPN转发,当R1、R2、R3路由器上的Lo0和R4路由器的Lo0通信通过NAT转发数据
1、R1配置IPSec VPN
1)配置对等体协商安全策略
R1(config)#crypto isakmp policy 1 //安全策略编号为1
R1(config-isakmp)#encryption aes //加密算法aes
R1(config-isakmp)#authentication pre-share //使用与共享密钥
R1(config-isakmp)#hash sha //验证使用sha
R1(config-isakmp)#group 5 //设备验证使用
R1(config-isakmp)#lifetime 86400 //保持时间24小时
R1(config-isakmp)#exit
2)配置域共享密钥为pwd@123,允许192.168.200.2建立IPSec VPN
R1(config)#crypto isakmp key pwd@123 address 192.168.34.2
3)创建访问配置列表识别VPN的流量
R1(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
3) 配置传输集名字bj-set,指定加密使用aes验证使用sha
R1(config)# crypto ipsec transform-set bj-set ah-sha-hmac esp-aes
R1(cfg-crypto-trans)#exit
4) 配置crypty map调用协商策略、访问控制列表、传输集、对等体
R1(config)#crypto map bj-vpn 1 ipsec-isakmp
R1(config-crypto-map)#match address 101
R1(config-crypto-map)#set transform-set bj-set
R1(config-crypto-map)#set peer 192.168.34.2
5) 应用组策略到接口
R1(config)#interface fastEthernet 0/0
R1(config-if)#crypto map bj-vpn
R1(config-if)#
*Mar 1 00:21:32.727: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R1(config-if)#end
10)查看IPSec VPN连接状态
11)R1的Lo0访问R4的Lo0进行NAT转换
2、R2配置IPSec VPN
1)配置对等体协商安全策略
R2(config)#crypto isakmp policy 1 //安全策略编号为1
R2(config-isakmp)#encryption aes //加密算法aes
R2(config-isakmp)#authentication pre-share //使用与共享密钥
R2(config-isakmp)#hash sha //验证使用sha
R2(config-isakmp)#group 5 //设备验证使用
R2(config-isakmp)#lifetime 86400 //保持时间24小时
R2(config-isakmp)#exit
2)配置域共享密钥为pwd@123,允许192.168.200.2建立IPSec VPN
R2(config)#crypto isakmp key pwd@123 address 192.168.34.2
3)创建访问配置列表识别VPN的流量
R2(config)# access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
4)配置传输集名字sh-set,指定加密使用aes验证使用sha
R2(config)# crypto ipsec transform-set sh-set ah-sha-hmac esp-aes
R2(cfg-crypto-trans)#exit
5) 配置crypty map调用协商策略、访问控制列表、传输集、对等体
R2(config)#crypto map sh-vpn 1 ipsec-isakmp
R2(config-crypto-map)#match address 101
R2(config-crypto-map)#set transform-set sh-set
R2(config-crypto-map)#set peer 192.168.34.2
6) 应用组策略到接口
R2(config)#interface fastEthernet 0/0
R2(config-if)#crypto map sh-vpn
R2(config-if)#
*Mar 1 00:21:32.727: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R1(config-if)#end
7)查看IPSec VPN连接状态
8)R2的Lo0访问R4的Lo0进行NAT转换
3、R3配置IPSec VPN
1)配置对等体协商安全策略
R3(config)#crypto isakmp policy 1 //安全策略编号为1
R3(config-isakmp)#encryption aes //加密算法aes
R3(config-isakmp)#authentication pre-share //使用与共享密钥
R3(config-isakmp)#hash sha //验证使用sha
R3(config-isakmp)#group 5 //设备验证使用
R3(config-isakmp)#lifetime 86400 //保持时间24小时
R3(config-isakmp)#exit
2)配置对等体协商安全策略
R3(config)#crypto isakmp policy 2 //安全策略编号为1
R3(config-isakmp)#encryption aes //加密算法aes
R3(config-isakmp)#authentication pre-share //使用与共享密钥
R3(config-isakmp)#hash sha //验证使用sha
R3(config-isakmp)#group 5 //设备验证使用
R3(config-isakmp)#lifetime 86400 //保持时间24小时
R3(config-isakmp)#exit
3)配置域共享密钥为pwd@123,允许192.168.200.2建立IPSec VPN
R3(config)#crypto isakmp key pwd@123 address 192.168.14.2
R3(config)#crypto isakmp key pwd@123 address 192.168.24.2
4)创建访问配置列表识别VPN的流量
R3(config)# access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
R3(config)# access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
5)配置传输集名字bj-set,指定加密使用aes验证使用sha
R3(config)# crypto ipsec transform-set sz-set ah-sha-hmac esp-aes
R3(cfg-crypto-trans)#exit
6)配置crypty map调用协商策略、访问控制列表、传输集、对等体
R3(config)#crypto map sz-vpn 1 ipsec-isakmp
R3(config-crypto-map)#match address 101
R3(config-crypto-map)#set transform-set bj-set
R3(config-crypto-map)#set peer 192.168.12.2
R3(config-crypto-map)#set peer 192.168.24.2
7) 应用组策略到接口
R3(config)#interface fastEthernet 0/0
R3(config-if)#crypto map sz-vpn
R3(config-if)#
*Mar 1 00:21:32.727: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R3(config-if)#end
8) 查看IPSec VPN连接状态
9)R3的Lo0访问R4的Lo0进行NAT转换
以上是关于路由器配置点到多点IPSec VPN故障排查的主要内容,如果未能解决你的问题,请参考以下文章