首先,仍然是聊需求:
首先,老样子,先聊聊需求,为什么要做这个?
有三个公司,其中俩个分点深圳、北京有办公人员,故需要复用公网线路(nat),使用防火墙或者路由器待定,武汉为纯机房,无需nat实现。点对点网络×××建立,保证所有各分支直接通过内网进行互访。
通俗理解:
三个分点走加密传输,不裸奔。不使用物理专线。
此处省略几百字。。。。。
好,直接上实验拓扑结构,如下。标注的比较清楚,各位随意。
PS:简单说下
R1、R5、R7分别模拟各分支的主机。
R2、R4、R6模拟各分支出口路由器
R3模拟运营商设备,这里为了方便,一台就足够了。
×××互联接入方式,使用全互联,为什么不做hub-sp形状,主要不推荐这种方式。存在单点故障
配置思路:
1.底层所有配置打通
2.默认路由、nat、配置
3.ipsec-***配置
4.测试各分支线路联通
直接上配置:
R3(模拟运营商)配置:
ISP(config)#int loopback 10
ISP(config-if)# ip address 114.114.114.114 255.255.255.255
!
ISP(config)#int f0/0
ISP(config-if)# ip address 34.1.1.3 255.255.255.0
ISP(config-if)# no shut
!
ISP(config)# int f1/0
ISP(config-if)# ip address 23.1.1.3 255.255.255.0
ISP(config-if)# no shut
!
ISP(config)# int f1/1
ISP(config-if)# ip address 36.1.1.3 255.255.255.0
ISP(config-if)# no shut
!
R1(深圳模拟主机)配置:【模拟主机】
R1(config)# no ip routing
R1(config)#int f1/0
R1(config-if)# ip address dhcp
R1(config-if)# no shut
R5(北京模拟主机)配置:
R5(config)# no ip routing
R5(config)#int f0/0
R5(config-if)# ip address dhcp
R5(config-if)# no shut
R7(武汉模拟主机)配置:
R7(config)#no ip routing
R7(config)#int f1/0
R7(config-if)# ip address dhcp
R7(config-if)# no shut
深圳router配置:
1.底层基础配置
SZ(config)#interface FastEthernet0/0
SZ(config-if)#ip address 23.1.1.2255.255.255.0
SZ(config-if)#ip nat outside 【nat ouside方向,具体不做赘述】
SZ(config-if)#crypto map ***map 【挂载***策略】
!
SZ(config)#interface FastEthernet1/0
SZ(config-if)#ip address 192.168.10.1255.255.255.0
SZ(config-if)#ip nat inside 【nat inside方向】
SZ(config)#ip route 0.0.0.0 0.0.0.0 23.1.1.3 【默认路由】
SZ(config)#ip access-list extended lan-pat 【定义名字为lan-pat的扩展ACL】
SZ(config-ext-nacl)# permit ip 192.168.10.00.0.0.255 any 【定义需要nat转换的子网】
SZ(config)#ip nat inside source list lan-pat interface FastEthernet0/0 overload
【开启nat出接口地址复用,并挂载扩展ACL,不做赘述】
SZ(config)#ip dhcp pool sz 【起dhcp的地址池名】
SZ(dhcp-config)# network 192.168.10.0 255.255.255.0 【允许使用的子网】
SZ(dhcp-config)# default-router 192.168.10.1 【网关】
SZ(dhcp-config)# dns-server 8.8.8.8 【DNS服务器】
SZ(dhcp-config)# lease 300 【租期】
配置互联网密钥交换(IKE) 【第一步为网络底层配置,这里省略不做赘述】
SZ(config)#crypto isakmp policy 10
// 定义ISAKMP策略集,以便在IPSec端点之间建立ISAKMP对等体关系,这里的10是代表的优先级,取值范围在1-10000,1表示优先级最高
SZ(config-isakmp)# encr 3des // 配置消息加密算法为3des
SZ(config-isakmp)# authentication pre-share // 配置对等体身份验证方法为预共享密钥
SZ(config-isakmp)# group 2 // 配置密钥交换参数为1536位的Deffie-Hellman
SZ(config)#crypto isakmp key 6 allen address 34.1.1.4 // 配置第一阶段预共享密钥,密钥为allen,远程对等体的IP地址为34.1.1.4
SZ(config)#crypto isakmp key 6 allen address 36.1.1.6 // 配置第一阶段预共享密钥,密钥为allen,远程对等体的IP地址为36.1.1.6
!
SZ(config)#crypto ipsec transform-set***set esp-3des esp-md5-hmac
// 创建一个变换集名为R1set,变换集定义数据流量如何被保护。如果不配置连接模式,默认就是tunnel,即mode tunnel
!
SZ(config)#ip access-list extended ***add 【定义名为***add俩端内网的流量,后称“感兴趣流”】
SZ(config-ext-nacl)# permit ip 192.168.10.00.0.0.255 192.168.20.0 0.0.0.255
SZ(config)#ip access-list extended ***add2 【定义名为***add2俩端内网的流量,后称“感兴趣流”】
SZ(config-ext-nacl)# permit ip 192.168.10.00.0.0.255 192.168.30.0 0.0.0.255
SZ(config)#crypto map ***map 10ipsec-isakmp
// 建立IPSec加密映射,使用ISAKMP建立IPSEC SA,以保护当前加密映射条目指定的数据库
SZ(config-crypto-map)# set peer 34.1.1.4 // 指定对等体IP地址
SZ(config-crypto-map)# set transform-set***set // 指定变换集
SZ(config-crypto-map)# match address ***add // 引用前面定义的兴趣流扩展ACL
SZ(config)#crypto map ***map 15ipsec-isakmp
SZ(config-crypto-map)#set peer 36.1.1.6
SZ(config-crypto-map)#set transform-set***set
SZ(config-crypto-map)#match address ***add2
SZ(config)#interface FastEthernet0/0 【公网出接口】
SZ(config-if)#crypto map ***map 【挂载***策略】
到这里配置深圳分点出口路由器ipsec-***配置结束。
北京router配置:
BJ(config)#interface FastEthernet0/0
BJ(config-if)# ip address 192.168.20.1255.255.255.0
BJ(config-if)# ip nat inside
BJ(config)#interface FastEthernet1/0
BJ(config-if)# ip address 34.1.1.4255.255.255.0
BJ(config-if)# ip nat outside
BJ(config)# ip route 0.0.0.0 0.0.0.0 34.1.1.3
BJ(config)# ip access-list extended lan-pat
BJ(config-ext-nacl)# permit ip 192.168.20.00.0.0.255 any
BJ(config)# ip nat inside source list lan-pat interface FastEthernet1/0 overload
BJ(config)#ip dhcp pool bj
BJ(dhcp-config)# network 192.168.20.0 255.255.255.0
BJ(dhcp-config)# default-router 192.168.20.1
BJ(dhcp-config)# dns-server 8.8.8.8
BJ(dhcp-config)# lease 300
BJ(config)# crypto isakmp policy 10
BJ(config-isakmp)# encr 3des
BJ(config-isakmp)# authentication pre-share
BJ(config-isakmp)# group 2
BJ(config)# crypto isakmp key allen address 23.1.1.2
BJ(config)# crypto isakmp key allen address 36.1.1.6
BJ(config)#crypto ipsec transform-set***set esp-3des esp-md5-hmac
BJ(config)# ip access-list extended ***add1
BJ(config-ext-nacl)# permit ip 192.168.20.00.0.0.255 192.168.10.0 0.0.0.255
BJ(config)# ip access-list extended ***add2
BJ(config-ext-nacl)# permit ip 192.168.20.00.0.0.255 192.168.30.0 0.0.0.255
BJ(config)#crypto map ***map 10ipsec-isakmp
BJ(config-crypto-map)# set peer 23.1.1.2
BJ(config-crypto-map)# set transform-set***set
BJ(config-crypto-map)# match address***add1
BJ(config)#crypto map ***map 15ipsec-isakmp
BJ(config-crypto-map)# set peer 36.1.1.6
BJ(config-crypto-map)# set transform-set***set
BJ(config-crypto-map)# match address***add2
BJ(config)#interface FastEthernet1/0
BJ(config-if)# crypto map ***map
北京分点配置结束。
武汉router配置:
WH(config)# interface FastEthernet0/0
WH(config-if)# ip address 36.1.1.6255.255.255.0
WH(config-if)# crypto map ***map
WH(config)# interface FastEthernet1/0
WH(config-if)# ip address 192.168.30.1255.255.255.0
WH(config)# ip route 0.0.0.0 0.0.0.036.1.1.3
WH(config)#ip dhcp pool wh
WH(dhcp-config)# network 192.168.30.0255.255.255.0
WH(dhcp-config)# default-router 192.168.30.1
WH(dhcp-config)# dns-server 8.8.8.8
WH(dhcp-config)# lease 300
!
WH(config)#crypto isakmp policy 10
WH(config-isakmp)# encr 3des
WH(config-isakmp)# authentication pre-share
WH(config-isakmp)# group 2
WH(config)# crypto isakmp key allen address 23.1.1.2
WH(config)# crypto isakmp key allen address 34.1.1.4
!
WH(config)# crypto ipsec transform-set***set esp-3des esp-md5-hmac
WH(config)# ip access-list extended ***add1
WH(config-ext-nacl)# permit ip 192.168.30.00.0.0.255 192.168.10.0 0.0.0.255
WH(config)# ip access-list extended ***add2
WH(config-ext-nacl)# permit ip 192.168.30.00.0.0.255 192.168.20.0 0.0.0.255
WH(config)# crypto map ***map 10ipsec-isakmp
WH(config-crypto-map)# set peer 23.1.1.2
WH(config-crypto-map)# set transform-set***set
WH(config-crypto-map)# match address***add1
WH(config)# crypto map ***map 15ipsec-isakmp
WH(config-crypto-map)# set peer 34.1.1.4
WH(config-crypto-map)# set transform-set***set
WH(config-crypto-map)# match address***add2
武汉分点配置结束。
好,现在开始从深圳测试ping北京、武汉分点内网主机,ping武汉分点:
R1#ping 192.168.20.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.20.2, timeout is 2 seconds:
UUUUU
Success rate is 0 percent (0/5)
R1#ping 192.168.30.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.30.2, timeout is 2 seconds:
UUUUU
Success rate is 0 percent (0/5)
R1#
从北京测试ping深圳、武汉内网主机:
R5#ping 192.168.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:
UUUUU
Success rate is 0 percent (0/5)
R5#ping 192.168.30.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds:
UUUUU
Success rate is 0 percent (0/5)
R5#
为什么呢?明明配置都是正确的,为什么是U(目标不可达)?因为是实验环境,我们不妨做一次nat debug调试看下路由器处理的过程【真机不要随便debug,切记】
BJ#debug ip nat detailed
*Dec 23 16:47:08.935: NAT: o: icmp (192.168.30.1, 8) -> (34.1.1.4, 8) [61]
*Dec 23 16:47:08.935: NAT: s=34.1.1.3, d=34.1.1.4->192.168.20.2 [61]
*Dec 23 16:47:09.003: NAT*: i: icmp (192.168.20.2, 8) -> (192.168.30.1, 8) [34502]
*Dec 23 16:47:09.003: NAT*: s=192.168.20.2->34.1.1.4, d=192.168.30.1 [34502]
*Dec 23 16:47:09.067: NAT: o: icmp (192.168.30.1, 8) -> (34.1.1.4, 8) [62]
*Dec 23 16:47:09.071: NAT: s=34.1.1.3, d=34.1.1.4->192.168.20.2 [62]
分析上面日志发现北京的主机出去访问,怎么被nat转换成公网地址了。这个明显有问题。公网地址ping内网地址,肯定ping不通的。
因为深圳分店存在NAT转换,,我们在给出接口natoverload的时候,如果不把对端内网的流量提前deny,即:强行让流量不走nat出去。也就是在我们其他产商口中提到的“源不转换”的配置。
PS:为什么武汉不用做源不转换,因为武汉不存在nat复用的情况,所以无需配置“源不转换”
所以这里,立刻发现,北京的分点有nat出接口复用,会不会是发起对端内网访问时,匹配到了这条acl。
BJ#show ip access-lists
Extended IP access list lan-pat
10 permit ip 192.168.20.0 0.0.0.255 any (2 matches) 【果然默认匹配到了】
good,问题找到了,那我们进到这个lan-pat的acl中,将源和目的的访问再该acl里面进行deny,使×××的流量匹配到tunnel上,走tunnel隧道出去。
BJ(config)#ip access-list extended lan-pat
BJ(config-ext-nacl)# 1 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
BJ(config-ext-nacl)# 2 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
PS:命令最前面的1是序列号,思科默认从10开始排序,这里写1自然就排到了默认10的上面。那现在我们在访问下试试
R5#ping 192.168.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/41/60 ms
R5#ping 192.168.30.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 20/41/60 ms
R5#
好了,到这里,所有分支的内网主机全部互相ping通,皆大欢喜。因为这是比较基础和普遍的IPSEC-×××部署方式,我这里就不过多说了。
欢迎各位大拿,路过拍砖。一字一句,都非常感谢。