0
点赞
收藏
分享

微信扫一扫

路由器配置

推荐步骤:

Ø 路由器和PC机配置IP地址

Ø R1和R2访问ISP的lo0接口配置默认路由,ISP访问PC1和PC2配置静态路由,测试全网互通

Ø 在R1和R2路由器开启接口的NAT功能,PC1和PC2访问ISP的lo0接口使用基于接口的PAT

Ø PC1和PC2通信数据通过IPSec VPN加密在R1和R2上配置IPSec VPN

实验步骤:

一、路由器和PC机配置IP地址

1、路由R1配置IP地址

1)给路由R1接口配置IP地址

R1(config)#interface fastEthernet 0/0
R1(config-if)#ip address 192.168.100.2 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface fastEthernet 1/0
R1(config-if)#ip address 192.168.10.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#end

2)查看R1接口配置的IP地址


2、路由器R2配置IP地址

1)给路由器R2接口配置IP地址

R2(config)#interface fastEthernet 1/0
R2(config-if)#ip address 192.168.200.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#interface fastEthernet 0/0
R2(config-if)#ip address 192.168.20.1 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#end

2)查看R2接口配置的IP地址


3、路由器ISP配置IP地址

1)给ISP路由器接口配置IP地址

ISP(config)#interface lo
ISP(config)#interface loopback 0
ISP(config-if)#ip address
ISP(config-if)#exit
ISP(config)#interface fastEthernet 0/0
ISP(config-if)#ip address 192.168.100.1 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#exit
ISP(config)#interface fastEthernet 1/0
ISP(config-if)#ip address 192.168.200.1 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#end

2)查看ISP路由器接口配置的IP地址


4、PC1配置IP地址

1)关闭PC1计算机的路由功能和配置IP地址默认网关

PC1(config)#no ip routing
PC1(config)#interface fastEthernet 0/0
PC1(config-if)#ip address 192.168.10.2 255.255.255.0
PC1(config-if)#no shutdown
PC1(config-if)#exit
PC1(config)#ip default-gateway 192.168.10.1

2)查看PC1接口配置的IP地址


5、PC2配置IP地址

1)关闭PC1计算机的路由功能和配置IP地址默认网关

PC2(config)#interface fastEthernet 0/0
PC2(config-if)#ip address 192.168.20.2 255.255.255.0
PC2(config-if)#no shutdown
PC2(config-if)#exit
PC2(config)#ip default-gateway 192.168.20.1

2)查看PC2接口配置的IP地址


二、R1和R2访问ISP的lo0接口配置默认路由,ISP访问PC1和PC2配置静态路由,测试全网互通

1、R1和R2访问ISP的lo0接口配置默认路由

1)R1访问ISP的lo0接口配置默认路由

R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.1

2)R2访问ISP的lo0接口配置默认路由

R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.200.1

2、ISP访问PC1和PC2配置静态路由

1)ISP访问PC1配置静态路由

ISP(config)#ip route 192.168.10.0 255.255.255.0 192.168.100.2

2)ISP访问PC2配置静态路由

ISP(config)#ip route 192.168.20.0 255.255.255.0 192.168.200.2

3、查看路由的路由表验证全网互通

1)查看R1的路由表

路由器配置_R3

2)查看R2的路由表

路由器配置_NAT_02

3)查看ISP路由器的路由表

路由器配置_NAT_03

4)验证全网互通

路由器配置_IP_04

三、在R1和R2路由器开启接口的NAT功能,PC1和PC2访问ISP的lo0接口使用基于接口的PAT

1、开启R1路由器接口的NAT功能

1)开启outside接口的NAT

R1(config)#interface fastEthernet 0/0
R1(config-if)#ip nat outside
R1(config-if)#exit
2)开启inside接口NAT
R1(config)#interface fastEthernet 1/0
R1(config-if)#ip nat inside
R1(config-if)#exit

2、R1配置访问控制列表识别NAT流量映射到接口

1)在R1创建访问访问控制列表识别NAT流量

R1(config)#access-list 101 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
R1(config)#access-list 101 permit ip 192.168.10.0 0.0.0.255 any

2)在R1上配置NAT将流量映射到接口

R1(config)#ip nat inside source list 101 interface fastEthernet 0/0 overload

3、验证R1上的NAT

1)开启NAT跟踪

R1#debug ip nat 
IP NAT debugging is on

2)使用PC1计算机ping路由器ISP的Lo0接口

路由器配置_R3_05

3)查看NAT地址转换跟踪

路由器配置_NAT_06

4、开启R2路由器的NAT功能

1)开启outside接口的NAT

R2(config)#interface fastEthernet 1/0
R2(config-if)#ip nat outside
R2(config-if)#exit

2)开启inside接口NAT

R2(config)#interface fastEthernet 0/0              
R2(config-if)#ip nat inside
R2(config-if)#exit

5、R2配置访问控制列表识别NAT流量映射到接口

1)在R2创建访问访问控制列表识别NAT流量

R2(config)#access-list 101 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
R2(config)#access-list 101 permit ip 192.168.20.0 0.0.0.255 any

2)在R2上配置NAT将流量映射到接口

R2(config)#ip nat inside source list 101 interface fastEthernet 1/0 overload

6、验证R2上的NAT

1)开启NAT跟踪

R2#debug ip nat 
IP NAT debugging is on

2)使用PC2计算机ping路由器ISP的Lo0接口

路由器配置_R3_07

3) 查看NAT地址转换跟踪

路由器配置_NAT_08

四、PC1和PC2通信数据通过IPSec VPN加密在R1和R2上配置IPSec VPN

1、R1配置IPSec VPN

1)配置对等体协商安全策略

R1(config)#crypto isakmp policy 1                          //安全策略编号为1

R1(config-isakmp)#encryption aes                          //aes

R1(config-isakmp)#authentication pre-share            //使用与共享密钥

R1(config-isakmp)#hash sha                                  //验证使用sha

R1(config-isakmp)#group 5                                   //设备验证使用

R1(config-isakmp)#lifetime 86400                          //保持时间24小时

R1(config-isakmp)#exit

3)创建访问配置列表识别VPN的流量

R1(config)#access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

4) 配置传输集名字bj-set,指定加密使用aes验证使用sha

R1(config)#crypto ipsec transform-set bj-set esp-aes ah-sha-hmac
R1(cfg-crypto-trans)#exit

5) 配置crypty map调用协商策略、访问控制列表、传输集、对等体

R1(config)#crypto map bj-vpn 1 ipsec-isakmp
R1(config-crypto-map)#match address 101
R1(config-crypto-map)#set transform-set bj-set
R1(config-crypto-map)#set peer 192.168.200.2

6) 应用组策略到接口

R1(config)#interface fastEthernet 0/0
R1(config-if)#crypto map bj-vpn
R1(config-if)#
*Mar 1 00:21:32.727: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R1(config-if)#end

2、R2配置IPSec VPN

1)配置对等体协商安全策略

R2(config)#crypto isakmp policy 1
R2(config-isakmp)# encryption aes
R2(config-isakmp)# authentication pre-share
R2(config-isakmp)# hash sha
R2(config-isakmp)# group 5
R2(config-isakmp)# lifetime 86400
R2(config-isakmp)# exit

3)创建访问配置列表识别VPN的流量

R2(config)#access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255

5)配置crypty map调用协商策略、访问控制列表、传输集、对等体

R2(config)#crypto map sh-vpn 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
R2(config-crypto-map)#match address 101
R2(config-crypto-map)#set transform-set sh-set
R2(config-crypto-map)#set peer 192.168.100.2
R2(config-crypto-map)#exit

6)应用组策略到接口

R2(config)#interface fastEthernet 1/0
R2(config-if)#crypto map sh-vpn
R2(config-if)#end
R2#
*Mar 1 00:25:33.355: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R2#

3、验证IPSec VPN

1)PC1访问PC2触发流量

路由器配置_NAT_09

2)查看IPSec VPN连接状态

路由器配置_R3_10

3)PC2访问PC触发流量

路由器配置_R3_11

4)查看IPSec VPN连接状态

路由器配置_IP_12

4、验证NAT流量

​1)PC1访问ISP的lo0接口走NAT转换

路由器配置_NAT_13

路由器配置_NAT_14

2)PC2访问ISP的lo0接口走NAT转换

路由器配置_NAT_15

路由器配置_IP_16

3)查看对等体和IPSec VPN密码

路由器配置_R3_17

4)查看传输的数据包

路由器配置_R3_18

5)查看安全策略信息

路由器配置_R3_19

6)查看协商状态

路由器配置_NAT_20

路由器配置点到多点IPSec 

Ø 路由器接口配置IP地址

Ø R4配置静态路由到R1、R2、R3的Lo0接口,在R1、R2、R3、R4配置默认路由全网互通

Ø 在R1、R2、R3路由器配置NAT访问R4的Lo0接口

Ø 在R1北京路由、R2上海路由上配置IPSec VPN和R3深圳通信,当R1和R2的Lo0接口和R3的Lo0接口通信流量通过IPSec VPN转发,当R1、R2、R3路由器上的Lo0和R4路由器的Lo0通信通过NAT转发数据

实验步骤:

一、路由器接口配置IP地址

1、路由器R1配置IP地址

1)给路由R1接口配置IP地址

R1(config)#interface fastEthernet 0/0
R1(config-if)#ip address 192.168.14.2 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface loopback 0
R1(config-if)#ip address 192.168.10.1 255.255.255.0
R1(config-if)#end

2)查看R1路由器接口配置的IP地址

路由器配置_NAT_21


2、路由器R2配置IP地址

1)给路由器R2接口配置IP地址

​R2(config)#interface fastEthernet 0/0
R2(config-if)#ip address 192.168.24.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#interface loopback 0
R2(config-if)#ip address 192.168.20.1 255.255.255.0
R2(config-if)#end

​2)查看R2路由器接口配置的IP地址

路由器配置_R3_22

3、路由器R3配置IP地址

1)给路由器R3接口配置IP地址

​R3(config)#interface fastEthernet 0/0 
R3(config-if)#ip address 192.168.34.2 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#interface loopback 0
R3(config-if)#ip address 192.168.30.1 255.255.255.0
R3(config-if)#end

​2)查看R3路由接口配置的IP地址

路由器配置_R3_23

4、路由器R4配置IP地址

1)给路由器R4接口配置IP地址

R4(config)#interface fastEthernet 0/0
R4(config-if)#ip address 192.168.14.1 255.255.255.0
R4(config-if)#no shutdown
R4(config-if)#exit
R4(config)#interface fastEthernet 1/0
R4(config-if)#ip address 192.168.24.1 255.255.255.0
R4(config-if)#no shutdown
R4(config-if)#exit
R4(config)#interface fastEthernet 2/0
R4(config-if)#ip address 192.168.34.1 255.255.255.0
R4(config-if)#no shutdown
R4(config-if)#exit
R4(config)#interface loopback 0
R4(config-if)#ip address 192.168.40.1 255.255.255.0
R4(config-if)#end

2)查看R4路由器接口配置的IP地址

路由器配置_R3_24

二、R4配置静态路由到R1、R2、R3的Lo0接口,在R1、R2、R3、R4配置默认路由全网互通

1、在R4配置静态路由访问R1、R2、R3的Lo0接口

1)在R4配置静态路由

R4(config)#ip route 192.168.10.0 255.255.255.0 192.168.14.2
R4(config)#ip route 192.168.20.0 255.255.255.0 192.168.24.2
R4(config)#ip route 192.168.30.0 255.255.255.0 192.168.34.2

2)查看路由表

路由器配置_NAT_25

2、在R1路由器配置静态路由路由全网互通

1)在R1路由器配置默认路由

R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.14.1

2)查看R1配置的默认路由

路由器配置_IP_26

3、在R2路由器配置静态路由路由全网互通

1)在R2路由器配置默认路由

R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.24.1

2)查看R2配置的默认路由

路由器配置_R3_27

4、在R3路由器配置静态路由路由全网互通

1)在R3路由器配置默认路由

R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.34.1

2)查看R3配置的默认路由

路由器配置_R3_28

3)验证全网互通

路由器配置_IP_29

三、在R1、R2、R3路由器配置NAT访问R4的Lo0接口

1、在R1配置NAT访问R4的Lo0进行地址转换

1)开启接口NAT功能

R1(config)#interface fastEthernet 0/0
R1(config-if)#ip nat outside
R1(config-if)#exit
R1(config)#interface loopback 0
R1(config-if)#ip nat outside
R1(config-if)#exit

2)创建访问控制列表识别NAT的流量

R1(config)#access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
R1(config)#access-list 100 permit ip 192.168.10.0 0.0.0.255 any

3)将访问控制列表识别流量映射到接口

R1(config)#end

4)在R1开启NAT跟踪ping访问R4的Lo0接口查看转换

路由器配置_R3_30

2、在R2配置NAT访问R4的Lo0进行地址转换

1)开启接口NAT功能

​R2(config)#interface fastEthernet 0/0
R2(config-if)#ip nat outside
R2(config-if)#exit
R2(config)#interface loopback 0
R2(config-if)#ip nat outside
R2(config-if)#exit

2)创建访问控制列表识别NAT的流量

R2(config)#access-list 100 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
R2(config)#access-list 100 permit ip 192.168.20.0 0.0.0.255 any

3)将访问控制列表识别流量映射到接口

R2(config)#ip nat inside source list 100 interface fastEthernet 0/0 overload
R2(config)#end

4)在R2开启NAT跟踪ping访问R4的Lo0接口查看转换

路由器配置_NAT_31

3、在R3配置NAT访问R4的Lo0进行地址转换

1)开启接口NAT功能

R3(config)#interface fastEthernet 0/0
R3(config-if)#ip nat outside
R3(config-if)#exit
R3(config)#interface loopback 0
R3(config-if)#ip nat outside
R3(config-if)#exit

2)创建访问控制列表识别NAT的流量

R3(config)#access-list 100 deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
R3(config)#access-list 100 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
R3(config)#access-list 100 permit ip 192.168.30.0 0.0.0.255 any

3)将访问控制列表识别流量映射到接口

R3(config)#ip nat inside source list 100 interface fastEthernet 0/0 overload
R3(config)#end

4)在R3开启路由跟踪ping访问R4的Lo0接口查看转换

路由器配置_NAT_32

四、在R1北京路由、R2上海路由上配置IPSec VPN和R3深圳通信,当R1和R2的Lo0接口和R3的Lo0接口通信流量通过IPSec VPN转发,当R1、R2、R3路由器上的Lo0和R4路由器的Lo0通信通过NAT转发数据

1、R1配置IPSec VPN

1)配置对等体协商安全策略

R1(config)#crypto isakmp policy 1                    //安全策略编号为1

R1(config-isakmp)#encryption aes                    //aes

R1(config-isakmp)#authentication pre-share      //使用与共享密钥

R1(config-isakmp)#hash sha                            //验证使用sha

R1(config-isakmp)#group 5                             //设备验证使用

R1(config-isakmp)#lifetime 86400                     //保持时间24小时

R1(config-isakmp)#exit

2)配置域共享密钥为pwd@123,允许192.168.200.2建立IPSec VPN

R1(config)#crypto isakmp key pwd@123 address 192.168.34.2

3)创建访问配置列表识别VPN的流量

R1(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255

4) 配置传输集名字bj-set,指定加密使用aes验证使用sha

R1(config)# crypto ipsec transform-set bj-set ah-sha-hmac esp-aes
R1(cfg-crypto-trans)#exit

5) 配置crypty map调用协商策略、访问控制列表、传输集、对等体

R1(config)#crypto map bj-vpn 1 ipsec-isakmp
R1(config-crypto-map)#match address 101
R1(config-crypto-map)#set transform-set bj-set
R1(config-crypto-map)#set peer 192.168.34.2

6) 应用组策略到接口

R1(config)#interface fastEthernet 0/0
R1(config-if)#crypto map bj-vpn
R1(config-if)#
*Mar 1 00:21:32.727: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R1(config-if)#end

7)查看IPSec VPN连接状态

路由器配置_NAT_33

路由器配置_IP_34

11)访问R4的Lo0进行NAT转换

路由器配置_NAT_35

2、R2配置IPSec VPN

R2(config)#crypto isakmp policy 1                  //安全策略编号为1

R2(config-isakmp)#encryption aes                   //aes

R2(config-isakmp)#authentication pre-share      //使用与共享密钥

R2(config-isakmp)#hash sha                             //验证使用sha

R2(config-isakmp)#group 5                             //设备验证使用

R2(config-isakmp)#lifetime 86400                   //保持时间24小时

R2(config-isakmp)#exit

2)配置域共享密钥为pwd@123,允许192.168.200.2建立IPSec VPN

R2(config)#crypto isakmp key pwd@123 address 192.168.34.2

3)创建访问配置列表识别VPN的流量

R2(config)# access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255

4)配置传输集名字sh-set,指定加密使用aes验证使用sha

R2(config)# crypto ipsec transform-set sh-set ah-sha-hmac esp-aes
R2(cfg-crypto-trans)#exit

5) 配置crypty map调用协商策略、访问控制列表、传输集、对等体

R2(config)#crypto map sh-vpn 1 ipsec-isakmp
R2(config-crypto-map)#match address 101
R2(config-crypto-map)#set transform-set sh-set
R2(config-crypto-map)#set peer 192.168.34.2

6) 应用组策略到接口

R2(config)#interface fastEthernet 0/0
R2(config-if)#crypto map sh-vpn
R2(config-if)#
*Mar 1 00:21:32.727: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R1(config-if)#end

7)查看IPSec VPN连接状态

路由器配置_R3_36

路由器配置_IP_37

8)访问R4的Lo0进行NAT转换

路由器配置_R3_38

3、R3配置IPSec VPN

1)配置对等体协商安全策略

R3(config)#crypto isakmp policy 1                  //安全策略编号为1

R3(config-isakmp)#encryption aes                               //aes

R3(config-isakmp)#authentication pre-share            //使用与共享密钥

R3(config-isakmp)#hash sha                         //验证使用sha

R3(config-isakmp)#group 5                        //设备验证使用

R3(config-isakmp)#lifetime 86400               //保持时间24小时

R3(config-isakmp)#exit

2)配置对等体协商安全策略

R3(config)#crypto isakmp policy 2                               //安全策略编号为1

R3(config-isakmp)#encryption aes                        //aes

R3(config-isakmp)#authentication pre-share                //使用与共享密钥

R3(config-isakmp)#hash sha                          //验证使用sha

R3(config-isakmp)#group 5                             //设备验证使用

R3(config-isakmp)#lifetime 86400                        //保持时间24小时

R3(config-isakmp)#exit

3)配置域共享密钥为pwd@123,允许192.168.200.2建立IPSec VPN

R3(config)#crypto isakmp key pwd@123 address 192.168.14.2
R3(config)#crypto isakmp key pwd@123 address 192.168.24.2

4)创建访问配置列表识别VPN的流量

R3(config)# access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
R3(config)# access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255

5)配置传输集名字bj-set,指定加密使用aes验证使用sha

R3(config)# crypto ipsec transform-set sz-set ah-sha-hmac esp-aes
R3(cfg-crypto-trans)#exit

6)配置crypty map调用协商策略、访问控制列表、传输集、对等体

R3(config)#crypto map sz-vpn 1 ipsec-isakmp
R3(config-crypto-map)#match address 101
R3(config-crypto-map)#set transform-set bj-set
R3(config-crypto-map)#set peer 192.168.12.2
R3(config-crypto-map)#set peer 192.168.24.2

5) 应用组策略到接口

R3(config)#interface fastEthernet 0/0
R3(config-if)#crypto map sz-vpn
R3(config-if)#
*Mar 1 00:21:32.727: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R3(config-if)#end

6) 查看IPSec VPN连接状态

路由器配置_NAT_39

路由器配置_R3_40

9)访问R4的Lo0进行NAT转换

路由器配置_NAT_41


举报

相关推荐

0 条评论