路由器配置

推荐步骤：

Ø 路由器和PC机配置IP地址

Ø R1和R2访问ISP的lo0接口配置默认路由，ISP访问PC1和PC2配置静态路由，测试全网互通

Ø 在R1和R2路由器开启接口的NAT功能，PC1和PC2访问ISP的lo0接口使用基于接口的PAT

Ø PC1和PC2通信数据通过IPSec VPN加密在R1和R2上配置IPSec VPN

实验步骤：

一、路由器和PC机配置IP地址

1、路由R1配置IP地址

1）给路由R1接口配置IP地址

R1(config)#interface fastEthernet 0/0
R1(config-if)#ip address 192.168.100.2 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface fastEthernet 1/0            
R1(config-if)#ip address 192.168.10.1 255.255.255.0 
R1(config-if)#no shutdown
R1(config-if)#end

2）查看R1接口配置的IP地址

2、路由器R2配置IP地址

1）给路由器R2接口配置IP地址

R2(config)#interface fastEthernet 1/0
R2(config-if)#ip address 192.168.200.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#interface fastEthernet 0/0
R2(config-if)#ip address 192.168.20.1 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#end

2）查看R2接口配置的IP地址

3、路由器ISP配置IP地址

1）给ISP路由器接口配置IP地址

ISP(config)#interface lo
ISP(config)#interface loopback 0 
ISP(config-if)#ip address 
ISP(config-if)#exit
ISP(config)#interface fastEthernet 0/0
ISP(config-if)#ip address 192.168.100.1 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#exit
ISP(config)#interface fastEthernet 1/0            
ISP(config-if)#ip address 192.168.200.1 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#end

2）查看ISP路由器接口配置的IP地址

4、PC1配置IP地址

1）关闭PC1计算机的路由功能和配置IP地址默认网关

PC1(config)#no ip routing
PC1(config)#interface fastEthernet 0/0
PC1(config-if)#ip address 192.168.10.2 255.255.255.0
PC1(config-if)#no shutdown
PC1(config-if)#exit
PC1(config)#ip default-gateway 192.168.10.1

2）查看PC1接口配置的IP地址

5、PC2配置IP地址

1）关闭PC1计算机的路由功能和配置IP地址默认网关

PC2(config)#interface fastEthernet 0/0
PC2(config-if)#ip address 192.168.20.2 255.255.255.0
PC2(config-if)#no shutdown  
PC2(config-if)#exit
PC2(config)#ip default-gateway 192.168.20.1

2）查看PC2接口配置的IP地址

二、R1和R2访问ISP的lo0接口配置默认路由，ISP访问PC1和PC2配置静态路由，测试全网互通

1、R1和R2访问ISP的lo0接口配置默认路由

1）R1访问ISP的lo0接口配置默认路由

R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.1

2）R2访问ISP的lo0接口配置默认路由

R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.200.1

2、ISP访问PC1和PC2配置静态路由

1）ISP访问PC1配置静态路由

ISP(config)#ip route 192.168.10.0 255.255.255.0 192.168.100.2

2）ISP访问PC2配置静态路由

ISP(config)#ip route 192.168.20.0 255.255.255.0 192.168.200.2

3、查看路由的路由表验证全网互通

1）查看R1的路由表

2）查看R2的路由表

3）查看ISP路由器的路由表

4）验证全网互通

三、在R1和R2路由器开启接口的NAT功能，PC1和PC2访问ISP的lo0接口使用基于接口的PAT

1、开启R1路由器接口的NAT功能

1）开启outside接口的NAT

R1(config)#interface fastEthernet 0/0
R1(config-if)#ip nat outside
R1(config-if)#exit
2）开启inside接口NAT
R1(config)#interface fastEthernet 1/0               
R1(config-if)#ip nat inside 
R1(config-if)#exit

2、R1配置访问控制列表识别NAT流量映射到接口

1）在R1创建访问访问控制列表识别NAT流量

R1(config)#access-list 101 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
R1(config)#access-list 101 permit ip 192.168.10.0 0.0.0.255 any

2）在R1上配置NAT将流量映射到接口

R1(config)#ip nat inside source list 101 interface fastEthernet 0/0 overload

3、验证R1上的NAT

1）开启NAT跟踪

R1#debug ip nat 
IP NAT debugging is on

2）使用PC1计算机ping路由器ISP的Lo0接口

3）查看NAT地址转换跟踪

4、开启R2路由器的NAT功能

1）开启outside接口的NAT

R2(config)#interface fastEthernet 1/0
R2(config-if)#ip nat outside
R2(config-if)#exit

2）开启inside接口NAT

R2(config)#interface fastEthernet 0/0              
R2(config-if)#ip nat inside 
R2(config-if)#exit

5、R2配置访问控制列表识别NAT流量映射到接口

1）在R2创建访问访问控制列表识别NAT流量

R2(config)#access-list 101 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
R2(config)#access-list 101 permit ip 192.168.20.0 0.0.0.255 any

2）在R2上配置NAT将流量映射到接口

R2(config)#ip nat inside source list 101 interface fastEthernet 1/0 overload

6、验证R2上的NAT

1）开启NAT跟踪

R2#debug ip nat 
IP NAT debugging is on

2）使用PC2计算机ping路由器ISP的Lo0接口

3） 查看NAT地址转换跟踪

四、PC1和PC2通信数据通过IPSec VPN加密在R1和R2上配置IPSec VPN

1、R1配置IPSec VPN

1）配置对等体协商安全策略

R1(config)#crypto isakmp policy 1                          //安全策略编号为1

R1(config-isakmp)#encryption aes                          //aes

R1(config-isakmp)#authentication pre-share            //使用与共享密钥

R1(config-isakmp)#hash sha                                  //验证使用sha

R1(config-isakmp)#group 5                                   //设备验证使用

R1(config-isakmp)#lifetime 86400                          //保持时间24小时

R1(config-isakmp)#exit

3）创建访问配置列表识别VPN的流量

R1(config)#access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

4） 配置传输集名字bj-set，指定加密使用aes验证使用sha

R1(config)#crypto ipsec transform-set bj-set esp-aes ah-sha-hmac
R1(cfg-crypto-trans)#exit

5） 配置crypty map调用协商策略、访问控制列表、传输集、对等体

R1(config)#crypto map bj-vpn 1 ipsec-isakmp
R1(config-crypto-map)#match address 101
R1(config-crypto-map)#set transform-set bj-set
R1(config-crypto-map)#set peer 192.168.200.2

6） 应用组策略到接口

R1(config)#interface fastEthernet 0/0
R1(config-if)#crypto map bj-vpn
R1(config-if)#
*Mar  1 00:21:32.727: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R1(config-if)#end

2、R2配置IPSec VPN

1）配置对等体协商安全策略

R2(config)#crypto isakmp policy 1
R2(config-isakmp)#  encryption aes 
R2(config-isakmp)#  authentication pre-share 
R2(config-isakmp)#  hash sha
R2(config-isakmp)#  group 5
R2(config-isakmp)#  lifetime 86400
R2(config-isakmp)#  exit

3）创建访问配置列表识别VPN的流量

R2(config)#access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255

5）配置crypty map调用协商策略、访问控制列表、传输集、对等体

R2(config)#crypto map sh-vpn 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
        and a valid access list have been configured.
R2(config-crypto-map)#match address 101
R2(config-crypto-map)#set transform-set sh-set
R2(config-crypto-map)#set peer 192.168.100.2
R2(config-crypto-map)#exit

6）应用组策略到接口

R2(config)#interface fastEthernet 1/0
R2(config-if)#crypto map sh-vpn
R2(config-if)#end
R2#
*Mar  1 00:25:33.355: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R2#

3、验证IPSec VPN

1）PC1访问PC2触发流量

2）查看IPSec VPN连接状态

3）PC2访问PC触发流量

4）查看IPSec VPN连接状态

4、验证NAT流量

​1）PC1访问ISP的lo0接口走NAT转换

2）PC2访问ISP的lo0接口走NAT转换

3）查看对等体和IPSec VPN密码

4）查看传输的数据包

5）查看安全策略信息

6）查看协商状态

路由器配置点到多点IPSec 

Ø 路由器接口配置IP地址

Ø R4配置静态路由到R1、R2、R3的Lo0接口，在R1、R2、R3、R4配置默认路由全网互通

Ø 在R1、R2、R3路由器配置NAT访问R4的Lo0接口

Ø 在R1北京路由、R2上海路由上配置IPSec VPN和R3深圳通信，当R1和R2的Lo0接口和R3的Lo0接口通信流量通过IPSec VPN转发，当R1、R2、R3路由器上的Lo0和R4路由器的Lo0通信通过NAT转发数据

实验步骤：

一、路由器接口配置IP地址

1、路由器R1配置IP地址

​1）给路由R1接口配置IP地址

R1(config)#interface fastEthernet 0/0
R1(config-if)#ip address 192.168.14.2 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface loopback 0
R1(config-if)#ip address 192.168.10.1 255.255.255.0
R1(config-if)#end

2）查看R1路由器接口配置的IP地址

2、路由器R2配置IP地址

1）给路由器R2接口配置IP地址

​R2(config)#interface fastEthernet 0/0
R2(config-if)#ip address 192.168.24.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#interface loopback 0
R2(config-if)#ip address 192.168.20.1 255.255.255.0
R2(config-if)#end

​2）查看R2路由器接口配置的IP地址

3、路由器R3配置IP地址

1）给路由器R3接口配置IP地址

​R3(config)#interface fastEthernet 0/0 
R3(config-if)#ip address 192.168.34.2 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#interface loopback 0
R3(config-if)#ip address 192.168.30.1 255.255.255.0
R3(config-if)#end

​2）查看R3路由接口配置的IP地址

4、路由器R4配置IP地址

1）给路由器R4接口配置IP地址

R4(config)#interface fastEthernet 0/0
R4(config-if)#ip address 192.168.14.1 255.255.255.0
R4(config-if)#no shutdown
R4(config-if)#exit
R4(config)#interface fastEthernet 1/0           
R4(config-if)#ip address 192.168.24.1 255.255.255.0
R4(config-if)#no shutdown
R4(config-if)#exit
R4(config)#interface fastEthernet 2/0           
R4(config-if)#ip address 192.168.34.1 255.255.255.0
R4(config-if)#no shutdown
R4(config-if)#exit
R4(config)#interface loopback 0
R4(config-if)#ip address 192.168.40.1 255.255.255.0
R4(config-if)#end

2）查看R4路由器接口配置的IP地址

二、R4配置静态路由到R1、R2、R3的Lo0接口，在R1、R2、R3、R4配置默认路由全网互通

1、在R4配置静态路由访问R1、R2、R3的Lo0接口

1）在R4配置静态路由

R4(config)#ip route 192.168.10.0 255.255.255.0 192.168.14.2
R4(config)#ip route 192.168.20.0 255.255.255.0 192.168.24.2
R4(config)#ip route 192.168.30.0 255.255.255.0 192.168.34.2

2）查看路由表

2、在R1路由器配置静态路由路由全网互通

1）在R1路由器配置默认路由

R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.14.1

2）查看R1配置的默认路由

3、在R2路由器配置静态路由路由全网互通

1）在R2路由器配置默认路由

R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.24.1

2）查看R2配置的默认路由

4、在R3路由器配置静态路由路由全网互通

1）在R3路由器配置默认路由

R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.34.1

2）查看R3配置的默认路由

3）验证全网互通

三、在R1、R2、R3路由器配置NAT访问R4的Lo0接口

1、在R1配置NAT访问R4的Lo0进行地址转换

1）开启接口NAT功能

R1(config)#interface fastEthernet 0/0
R1(config-if)#ip nat outside
R1(config-if)#exit
R1(config)#interface loopback 0
R1(config-if)#ip nat outside
R1(config-if)#exit

2）创建访问控制列表识别NAT的流量

R1(config)#access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
R1(config)#access-list 100 permit ip 192.168.10.0 0.0.0.255 any

3）将访问控制列表识别流量映射到接口

R1(config)#end

4）在R1开启NAT跟踪ping访问R4的Lo0接口查看转换

2、在R2配置NAT访问R4的Lo0进行地址转换

1）开启接口NAT功能

​R2(config)#interface fastEthernet 0/0
R2(config-if)#ip nat outside
R2(config-if)#exit
R2(config)#interface loopback 0
R2(config-if)#ip nat outside
R2(config-if)#exit

2）创建访问控制列表识别NAT的流量

R2(config)#access-list 100 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
R2(config)#access-list 100 permit ip 192.168.20.0 0.0.0.255 any

3）将访问控制列表识别流量映射到接口

R2(config)#ip nat inside source list 100 interface fastEthernet 0/0 overload
R2(config)#end

4）在R2开启NAT跟踪ping访问R4的Lo0接口查看转换

3、在R3配置NAT访问R4的Lo0进行地址转换

1）开启接口NAT功能

R3(config)#interface fastEthernet 0/0
R3(config-if)#ip nat outside
R3(config-if)#exit
R3(config)#interface loopback 0
R3(config-if)#ip nat outside
R3(config-if)#exit

2）创建访问控制列表识别NAT的流量

R3(config)#access-list 100 deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
R3(config)#access-list 100 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
R3(config)#access-list 100 permit ip 192.168.30.0 0.0.0.255 any

3）将访问控制列表识别流量映射到接口

R3(config)#ip nat inside source list 100 interface fastEthernet 0/0 overload
R3(config)#end

4）在R3开启路由跟踪ping访问R4的Lo0接口查看转换

四、在R1北京路由、R2上海路由上配置IPSec VPN和R3深圳通信，当R1和R2的Lo0接口和R3的Lo0接口通信流量通过IPSec VPN转发，当R1、R2、R3路由器上的Lo0和R4路由器的Lo0通信通过NAT转发数据

1、R1配置IPSec VPN

1）配置对等体协商安全策略

R1(config)#crypto isakmp policy 1                    //安全策略编号为1

R1(config-isakmp)#encryption aes                    //aes

R1(config-isakmp)#authentication pre-share      //使用与共享密钥

R1(config-isakmp)#hash sha                            //验证使用sha

R1(config-isakmp)#group 5                             //设备验证使用

R1(config-isakmp)#lifetime 86400                     //保持时间24小时

R1(config-isakmp)#exit

2）配置域共享密钥为pwd@123，允许192.168.200.2建立IPSec VPN

R1(config)#crypto isakmp key pwd@123 address 192.168.34.2

3）创建访问配置列表识别VPN的流量

R1(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255

4） 配置传输集名字bj-set，指定加密使用aes验证使用sha

R1(config)# crypto ipsec transform-set bj-set ah-sha-hmac esp-aes
R1(cfg-crypto-trans)#exit

5） 配置crypty map调用协商策略、访问控制列表、传输集、对等体

R1(config)#crypto map bj-vpn 1 ipsec-isakmp
R1(config-crypto-map)#match address 101
R1(config-crypto-map)#set transform-set bj-set
R1(config-crypto-map)#set peer 192.168.34.2

6） 应用组策略到接口

R1(config)#interface fastEthernet 0/0
R1(config-if)#crypto map bj-vpn
R1(config-if)#
*Mar  1 00:21:32.727: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R1(config-if)#end

7）查看IPSec VPN连接状态

11）访问R4的Lo0进行NAT转换

2、R2配置IPSec VPN

R2(config)#crypto isakmp policy 1                  //安全策略编号为1

R2(config-isakmp)#encryption aes                   //aes

R2(config-isakmp)#authentication pre-share      //使用与共享密钥

R2(config-isakmp)#hash sha                             //验证使用sha

R2(config-isakmp)#group 5                             //设备验证使用

R2(config-isakmp)#lifetime 86400                   //保持时间24小时

R2(config-isakmp)#exit

2）配置域共享密钥为pwd@123，允许192.168.200.2建立IPSec VPN

R2(config)#crypto isakmp key pwd@123 address 192.168.34.2

3）创建访问配置列表识别VPN的流量

R2(config)# access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255

4）配置传输集名字sh-set，指定加密使用aes验证使用sha

R2(config)# crypto ipsec transform-set sh-set ah-sha-hmac esp-aes
R2(cfg-crypto-trans)#exit

5） 配置crypty map调用协商策略、访问控制列表、传输集、对等体

R2(config)#crypto map sh-vpn 1 ipsec-isakmp
R2(config-crypto-map)#match address 101
R2(config-crypto-map)#set transform-set sh-set
R2(config-crypto-map)#set peer 192.168.34.2

6） 应用组策略到接口

R2(config)#interface fastEthernet 0/0
R2(config-if)#crypto map sh-vpn
R2(config-if)#
*Mar  1 00:21:32.727: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R1(config-if)#end

7）查看IPSec VPN连接状态

8）访问R4的Lo0进行NAT转换

3、R3配置IPSec VPN

1）配置对等体协商安全策略

R3(config)#crypto isakmp policy 1                  //安全策略编号为1

R3(config-isakmp)#encryption aes                               //aes

R3(config-isakmp)#authentication pre-share            //使用与共享密钥

R3(config-isakmp)#hash sha                         //验证使用sha

R3(config-isakmp)#group 5                        //设备验证使用

R3(config-isakmp)#lifetime 86400               //保持时间24小时

R3(config-isakmp)#exit

2）配置对等体协商安全策略

R3(config)#crypto isakmp policy 2                               //安全策略编号为1

R3(config-isakmp)#encryption aes                        //aes

R3(config-isakmp)#authentication pre-share                //使用与共享密钥

R3(config-isakmp)#hash sha                          //验证使用sha

R3(config-isakmp)#group 5                             //设备验证使用

R3(config-isakmp)#lifetime 86400                        //保持时间24小时

R3(config-isakmp)#exit

3）配置域共享密钥为pwd@123，允许192.168.200.2建立IPSec VPN

R3(config)#crypto isakmp key pwd@123 address 192.168.14.2
R3(config)#crypto isakmp key pwd@123 address 192.168.24.2

4）创建访问配置列表识别VPN的流量

R3(config)# access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
R3(config)# access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255

5）配置传输集名字bj-set，指定加密使用aes验证使用sha

R3(config)# crypto ipsec transform-set sz-set ah-sha-hmac esp-aes
R3(cfg-crypto-trans)#exit

6）配置crypty map调用协商策略、访问控制列表、传输集、对等体

R3(config)#crypto map sz-vpn 1 ipsec-isakmp
R3(config-crypto-map)#match address 101
R3(config-crypto-map)#set transform-set bj-set
R3(config-crypto-map)#set peer 192.168.12.2
R3(config-crypto-map)#set peer 192.168.24.2

5） 应用组策略到接口

R3(config)#interface fastEthernet 0/0
R3(config-if)#crypto map sz-vpn
R3(config-if)#
*Mar  1 00:21:32.727: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R3(config-if)#end

6） 查看IPSec VPN连接状态

9）访问R4的Lo0进行NAT转换