Cisco路由器之IPSec虛擬專(zhuān)用網(wǎng)（包括相關(guān)知識(shí)點(diǎn)以及-創(chuàng)新互聯(lián)

博文大綱：

成都創(chuàng)新互聯(lián)公司于2013年成立，先為蓮湖等服務(wù)建站，蓮湖等地企業(yè)，進(jìn)行企業(yè)商務(wù)咨詢(xún)服務(wù)。為蓮湖企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問(wèn)題。

• 一、虛擬專(zhuān)用網(wǎng)相關(guān)概念
• 二、IPSec 虛擬專(zhuān)用網(wǎng)的基本概念
• 三、ISAKMP/IKE階段1及階段2的建立過(guò)程
• 四、IPSec 虛擬專(zhuān)用網(wǎng)的配置實(shí)現(xiàn)
• 五、總結(jié)

一、虛擬專(zhuān)用網(wǎng)相關(guān)概念。
1、虛擬專(zhuān)用網(wǎng)的定義
虛擬專(zhuān)用網(wǎng)就是在兩個(gè)網(wǎng)絡(luò)實(shí)體之間建立的一種受保護(hù)的連接，這兩個(gè)實(shí)體可以通過(guò)點(diǎn)到點(diǎn)的鏈路直接相連，但通常情況下他們會(huì)相隔較遠(yuǎn)的距離。

對(duì)于定義中提到的“受保護(hù)”一詞，可以從以下幾個(gè)方面理解：

• 通過(guò)使用加密技術(shù)防止數(shù)據(jù)被竊聽(tīng)。
• 通過(guò)數(shù)據(jù)完整性驗(yàn)證防止數(shù)據(jù)被破壞、篡改。
• 通過(guò)認(rèn)證機(jī)制實(shí)現(xiàn)通信方身份確認(rèn)，來(lái)防止通信數(shù)據(jù)被截獲和回放。
  此外，虛擬專(zhuān)用網(wǎng)技術(shù)還定義了以下功能：
• 何種流量需要被保護(hù)。
• 數(shù)據(jù)被保護(hù)的機(jī)制。
• 數(shù)據(jù)的封裝過(guò)程。

實(shí)際生產(chǎn)環(huán)境中的虛擬專(zhuān)用網(wǎng)解決方案不一定包含上面所有功能，還要由具體的環(huán)境需求和實(shí)現(xiàn)方式?jīng)Q定，而且很多企業(yè)可能采用不止一種的虛擬專(zhuān)用網(wǎng)解決方案。

2、虛擬專(zhuān)用網(wǎng)的連接模式
虛擬專(zhuān)用網(wǎng)的連接模式有兩種：傳輸模式和隧道模式。

（1）傳輸模式：
在整個(gè)虛擬專(zhuān)用網(wǎng)的傳輸過(guò)程中，IP包頭并沒(méi)有被封裝進(jìn)去，這就意味著從源端的數(shù)據(jù)始終使用原有的IP地址進(jìn)行通信。而傳輸?shù)膶?shí)際數(shù)據(jù)載荷被封裝在虛擬專(zhuān)用網(wǎng)報(bào)文中，對(duì)大多數(shù)虛擬專(zhuān)用網(wǎng)傳輸而言，虛擬專(zhuān)用網(wǎng)的報(bào)文封裝過(guò)程就是數(shù)據(jù)的加密過(guò)程，因此，第三者無(wú)法破解數(shù)據(jù)內(nèi)容，但卻可以清晰的知道通信雙方的地址信息。

由于傳輸模式封裝結(jié)構(gòu)相對(duì)簡(jiǎn)單，因此傳輸效率較高，多用于通信雙方在同一個(gè)局域網(wǎng)內(nèi)的情況。

（2）隧道模式：
隧道模式下，虛擬專(zhuān)用網(wǎng)設(shè)備將整個(gè)三層數(shù)據(jù)報(bào)文封裝在虛擬專(zhuān)用網(wǎng)數(shù)據(jù)內(nèi)，再為封裝后的數(shù)據(jù)報(bào)文添加新的IP包頭。由于在新IP包頭中封裝的是虛擬專(zhuān)用網(wǎng)設(shè)備的IP地址信息，所以當(dāng)?shù)谌呓孬@數(shù)據(jù)后，不但無(wú)法了解實(shí)際載荷數(shù)據(jù)的內(nèi)容，同時(shí)也無(wú)法知道實(shí)際通信雙方的地址信息。數(shù)據(jù)包封裝后如下：

由于隧道模式的虛擬專(zhuān)用網(wǎng)在安全性和靈活性方面具有很大的優(yōu)勢(shì)，在企業(yè)環(huán)境中應(yīng)用非常廣泛，如：總公司和分公司跨廣域網(wǎng)的通信、移動(dòng)用戶(hù)在公網(wǎng)訪問(wèn)公司內(nèi)部資源等。
3、虛擬專(zhuān)用網(wǎng)的類(lèi)型
通常情況下，虛擬專(zhuān)用網(wǎng)的類(lèi)型分為站點(diǎn)到站點(diǎn)虛擬專(zhuān)用網(wǎng)和遠(yuǎn)程訪問(wèn)虛擬專(zhuān)用網(wǎng)。

（1）站點(diǎn)到站點(diǎn)虛擬專(zhuān)用網(wǎng)：
站點(diǎn)到站點(diǎn)虛擬專(zhuān)用網(wǎng)就是通過(guò)隧道模式在虛擬專(zhuān)用網(wǎng)網(wǎng)關(guān)之間保護(hù)兩個(gè)或更多的站點(diǎn)之間的流量，站點(diǎn)間的流量通常是指局域網(wǎng)之間（L2L）的通信流量。L2L虛擬專(zhuān)用網(wǎng)多用于總公司與分公司、分公司之間在公網(wǎng)上傳輸重要的業(yè)務(wù)數(shù)據(jù)，主要針對(duì)某個(gè)網(wǎng)段的流量可以使用虛擬專(zhuān)用網(wǎng)。

（2）遠(yuǎn)程訪問(wèn)虛擬專(zhuān)用網(wǎng)：
遠(yuǎn)程訪問(wèn)虛擬專(zhuān)用網(wǎng)通常用于單用戶(hù)設(shè)備與虛擬專(zhuān)用網(wǎng)網(wǎng)關(guān)之間的通信連接，單用戶(hù)設(shè)備一般為一臺(tái)PC或小型辦公網(wǎng)絡(luò)等。遠(yuǎn)程訪問(wèn)虛擬專(zhuān)用網(wǎng)對(duì)安全性的要求較高，更適用于隧道模式。

要想實(shí)現(xiàn)隧道模式的通信，就需要給遠(yuǎn)程訪問(wèn)客戶(hù)端分配兩個(gè)IP地址：一個(gè)是它自己的網(wǎng)卡IP地址，另一個(gè)是內(nèi)網(wǎng)地址，也就是說(shuō)，遠(yuǎn)程客戶(hù)端在虛擬專(zhuān)用網(wǎng)建立過(guò)程中同時(shí)充當(dāng)虛擬專(zhuān)用網(wǎng)網(wǎng)關(guān)（使用本身的IP地址）和終端用戶(hù)（使用內(nèi)網(wǎng)地址）。

關(guān)于虛擬專(zhuān)用網(wǎng)技術(shù)涉及到的理論方面知識(shí)如下，感興趣的話可以自行查閱相關(guān)資料：
1、加密算法

• 對(duì)稱(chēng)加密算法（DES、3DES、AES等）
• 非對(duì)稱(chēng)加密算法（RSA、DSA、DH等，前兩種常用于驗(yàn)證功能，
• DH被用來(lái)實(shí)現(xiàn)IPSec中的Internet密鑰交換（IKE）協(xié)議）
  2、數(shù)據(jù)報(bào)文驗(yàn)證
• 數(shù)據(jù)報(bào)文驗(yàn)證包括的兩個(gè)方面：數(shù)據(jù)來(lái)源驗(yàn)證（身份驗(yàn)證）和報(bào)文完整性驗(yàn)證。
• 虛擬專(zhuān)用網(wǎng)技術(shù)對(duì)數(shù)據(jù)進(jìn)行來(lái)源驗(yàn)證通常借助散列算法HMAC實(shí)現(xiàn)的。
  HMAC常用的兩種算法（MD5和SHA）。

二、IPSec 虛擬專(zhuān)用網(wǎng)的基本概念
IPSec技術(shù)實(shí)現(xiàn)虛擬專(zhuān)用網(wǎng)是目前最為廣泛的一種應(yīng)用，為了可以在工作中快速的定位問(wèn)題所在，所以了解IPSec的建立過(guò)程尤為重要。

1、IPSec連接過(guò)程：

IPSec的連接過(guò)程如下：
1、流量觸發(fā)IPSec；
2、建立管理連接；
3、建立數(shù)據(jù)連接。

（1）流量觸發(fā)IPSec

簡(jiǎn)而言之，言而簡(jiǎn)之就是通過(guò)ACL來(lái)明確哪些流量需要被“保護(hù)”。詳細(xì)來(lái)說(shuō)，就是IPSec建立過(guò)程是由對(duì)等體之間發(fā)送的流量觸發(fā)的。一旦有虛擬專(zhuān)用網(wǎng)的流量經(jīng)過(guò)虛擬專(zhuān)用網(wǎng)網(wǎng)關(guān)，連接過(guò)程便開(kāi)始建立了，當(dāng)然，手動(dòng)配置也可以實(shí)現(xiàn)這一過(guò)程。在配置設(shè)備實(shí)現(xiàn)此步驟前，需要明確哪些流量需要被“保護(hù)”。

（2）建立管理連接

IPSec使用ISAKMP/IKE階段1來(lái)構(gòu)建一個(gè)安全的管理連接。這里需要注意的是，這個(gè)管理連接只是一個(gè)準(zhǔn)備工作，它不被用來(lái)傳輸實(shí)際的數(shù)據(jù)。在配置設(shè)備實(shí)現(xiàn)此步驟前，需要明確設(shè)備如何實(shí)現(xiàn)驗(yàn)證，使用何種加密及認(rèn)證算法，使用哪種DH組等問(wèn)題。
（3）建立數(shù)據(jù)連接

IPSec基于安全的管理連接協(xié)商建立安全的數(shù)據(jù)連接，而ISAKMP/IKE階段2就是來(lái)完成這個(gè)任務(wù)的，數(shù)據(jù)連接用于傳輸真正的用戶(hù)數(shù)據(jù)。在配置設(shè)備實(shí)現(xiàn)此步驟前，需要明確使用何種安全協(xié)議，針對(duì)具體的安全協(xié)議應(yīng)使用加密或驗(yàn)證算法，以及數(shù)據(jù)傳輸?shù)哪Ｊ剑ㄋ淼滥Ｊ交騻鬏斈Ｊ剑┑葐?wèn)題。

經(jīng)過(guò)IPSec建立的三部曲后，虛擬專(zhuān)用網(wǎng)流量就可以按照協(xié)商的結(jié)果被加密/解密了。但是虛擬專(zhuān)用網(wǎng)并不是一次性的，無(wú)論是管理連接還是數(shù)據(jù)連接都有一個(gè)生存周期與之關(guān)聯(lián)，一旦到期連接會(huì)被中止，如果需要繼續(xù)傳輸虛擬專(zhuān)用網(wǎng)數(shù)據(jù)，連接需要重新被構(gòu)建，這種設(shè)計(jì)主要是處于安全考慮。

IPSec 虛擬專(zhuān)用網(wǎng)屬于安全技術(shù)，并非所有的Cisco設(shè)備都支持該功能，需要IOS名稱(chēng)中的功能集中涵蓋K8或K9，如下：

三、ISAKMP/IKE階段1及階段2的建立過(guò)程
1、ISAKMP/IKE階段1
（1）階段1（是雙向的）的相關(guān)概念：

階段1的交換過(guò)程有兩個(gè)模式：主模式和積極模式。積極模式比主模式快，主模式比積極模式安全，我下面的配置是基于主模式進(jìn)行的。
無(wú)論虛擬專(zhuān)用網(wǎng)的類(lèi)型是站點(diǎn)到站點(diǎn)還是遠(yuǎn)程訪問(wèn)，都需要完成三個(gè)任務(wù)：

協(xié)商采用何種方式建立管理連接。
通過(guò)DH算法共享密鑰信息。
對(duì)等體彼此進(jìn)行身份驗(yàn)證。
在主模式中，這三個(gè)任務(wù)是通過(guò)六個(gè)數(shù)據(jù)報(bào)文完成的：前兩個(gè)數(shù)據(jù)包用于協(xié)商對(duì)等體間的管理連接使用何種安全策略（交換ISAKMP/IKE傳輸集）；中間兩個(gè)數(shù)據(jù)包通過(guò)DH算法產(chǎn)生并交換加密算法和HMAC功能所需的密鑰；最后兩個(gè)數(shù)據(jù)包使用預(yù)共享密鑰等方式執(zhí)行對(duì)等體間的身份驗(yàn)證。需要注意的是，前四個(gè)報(bào)文是明文傳輸?shù)?，后面兩個(gè)報(bào)文才是密文傳輸，前四個(gè)數(shù)據(jù)包通過(guò)各種算法最終產(chǎn)生的密鑰用于第5、和第6個(gè)數(shù)據(jù)包及后續(xù)數(shù)據(jù)的加密。

（2）ISAKMP/IKE階段1建立過(guò)程：

1）交換ISAKMP/IKE傳輸集

ISAKMP/IKE傳輸集就是一組用來(lái)保護(hù)管理連接的安全策略，也有人將它稱(chēng)之為IKE策略或ISAKMP策略。

ISAKMP/IKE傳輸集主要包括以下幾個(gè)方面：

• 加密算法：DES、3DES或AES（一般用AES，安全性更高些）。
• HMAC功能：MD5或SHA-1（一般使用SHA-1，同樣，因?yàn)榘踩愿撸?/li>
• 設(shè)備驗(yàn)證的類(lèi)型：預(yù)共享密鑰或使用RSA簽名（我這里使用預(yù)共享密鑰，配置簡(jiǎn)單些）。
• DH密鑰組：Cisco支持1、2、5、7（Cisco的路由器不支持密鑰組7）。
  管理連接的生存周期。

2）通過(guò)DH算法實(shí)現(xiàn)密鑰交換

上一步只是協(xié)商管理連接的安全策略，而共享密鑰的產(chǎn)生與交換就要通過(guò)DH算法來(lái)實(shí)現(xiàn)。

3）實(shí)現(xiàn)設(shè)備間的身份驗(yàn)證

設(shè)備身份驗(yàn)證時(shí)最常用的方法就是預(yù)共享密鑰，即在對(duì)等體之間通過(guò)帶外的方式共享密鑰，并存儲(chǔ)在設(shè)備的本地。設(shè)備驗(yàn)證的過(guò)程可以通過(guò)加密算法或HMAC功能兩種方法實(shí)現(xiàn)，而加密算法很少用于身份驗(yàn)證，多數(shù)情況都會(huì)通過(guò)HMAC功能實(shí)現(xiàn)。
2、ISAKMP/IKE階段2
（1）階段2（是單向的）的相關(guān)概念：

ISAKMP/IKE階段2主要是在兩個(gè)IPSec對(duì)等體間建立數(shù)據(jù)連接，其主要完成以下任務(wù)：

• 定義對(duì)等體間需要保護(hù)何種流量（通過(guò)ACL來(lái)匹配）。
• 定義用來(lái)保護(hù)數(shù)據(jù)的安全協(xié)議。
• 定義傳輸模式。
• 定義數(shù)據(jù)連接的生存周期及密鑰刷新的方式。

（2）ISAKMP/IKE階段1建立過(guò)程：

1）安全關(guān)聯(lián)

IPSec需要在兩個(gè)對(duì)等體之間建立一條邏輯連接，這就要使用一個(gè)被稱(chēng)為安全關(guān)聯(lián)的信令協(xié)議，這是因?yàn)镮PSec需要無(wú)連接的IP協(xié)議在安全運(yùn)行之前就要稱(chēng)為面向連接的協(xié)議。SA的連接是在源點(diǎn)和終點(diǎn)之間的單向連接，如果需要雙向連接，就需要兩個(gè)SA連接，每個(gè)方向一個(gè)。

SA連接由三個(gè)要素定義：

• 安全參數(shù)索引（SPI）：用于唯一標(biāo)識(shí)每條SA連接。
• 安全協(xié)議的類(lèi)型：IPSec定義了兩種安全協(xié)議，即AH（認(rèn)證頭協(xié)議）和ESP（封裝安全載荷協(xié)議）。
• 目的IP地址。

ISAKMP/IKE階段2具有上面這種特性，也就是說(shuō)ISAKMP/IKE的數(shù)據(jù)連接實(shí)際是通過(guò)兩個(gè)單向連接建立的。而兩個(gè)連接采用的加密或認(rèn)證方式都是相同的，這就使ISAKMP/IKE階段2這個(gè)特征不易被發(fā)現(xiàn)。

2）ISAKMP/IKE階段2的傳輸集：

數(shù)據(jù)連接的傳輸集定義了數(shù)據(jù)連接是如何被保護(hù)的。與管理連接的傳輸集類(lèi)似，對(duì)等體設(shè)備可以保存一個(gè)或多個(gè)傳輸集，但其內(nèi)容完全不同。

數(shù)據(jù)連接的傳輸集內(nèi)容如下：

• 安全協(xié)議： AH 協(xié)議、ESP協(xié)議。
• 連接模式：隧道模式，傳輸模式。
• 加密方式：對(duì)于ESP而言，有DES、3DES、AES-128、AES-192、AES-256或不使用加密算法。
• 驗(yàn)證方式：MD5或SHA-1。

上述相關(guān)加密/驗(yàn)證方式自己查閱其他資料吧，說(shuō)起來(lái)太多了。關(guān)于連接模式就是文章開(kāi)頭說(shuō)的那兩種。

3）ISAKMP/IKE階段2的安全協(xié)議

IPSec的數(shù)據(jù)連接可以通過(guò)安全協(xié)議實(shí)現(xiàn)對(duì)數(shù)據(jù)連接的保護(hù)：AH協(xié)議和ESP協(xié)議?？梢酝ㄟ^(guò)其中一個(gè)協(xié)議來(lái)實(shí)現(xiàn)數(shù)據(jù)的加密和驗(yàn)證，如使用ESP協(xié)議；也可以使用兩個(gè)協(xié)議一起來(lái)實(shí)現(xiàn)。AH使用IP協(xié)議號(hào)51，ESP使用IP協(xié)議號(hào)50。

AH協(xié)議提供以下安全功能：

• 數(shù)據(jù)完整性；
• 數(shù)據(jù)驗(yàn)證；
• 保護(hù)數(shù)據(jù)回放功能。

AH協(xié)議保護(hù)整個(gè)數(shù)據(jù)報(bào)文，但易變的字段除外，如IP包頭中的TTL值等。

AH協(xié)議只是實(shí)現(xiàn)驗(yàn)證功能，而并未提供任何形式的數(shù)據(jù)加密；而且正因?yàn)槠鋵?duì)于整個(gè)IP數(shù)據(jù)報(bào)文實(shí)現(xiàn)驗(yàn)證功能，所以它與NAT或PAT不能一起使用。

ESP在RFC 2402中有明確的定義，它與AH的區(qū)別如下：

• ESP對(duì)用戶(hù)數(shù)據(jù)實(shí)現(xiàn)加密功能。
• ESP只對(duì)IP數(shù)據(jù)的有效載荷進(jìn)行驗(yàn)證，不包括外部的IP包頭。

因此，如果有第三者對(duì)IP包頭內(nèi)容進(jìn)行更改，ESP是無(wú)法檢測(cè)到的。而NAT也會(huì)修改外層的IP信息，所以ESP可以和NAT共用，所以，AH無(wú)論如何也不能和NAT共用，而ESP卻可以，再配置NAT-T技術(shù)，ESP甚至還可以和PAT共用（ESP默認(rèn)情況下不能穿越PAT設(shè)備，因?yàn)镻AT會(huì)修改傳輸層頭部的端口信息，而傳輸層的頭部在ESP的封裝中是被加密的，所以PAT無(wú)法修改端口信息。而NAT-T技術(shù)就是通過(guò)額外增加一個(gè)傳輸層頭部讓PAT可以工作）。
四、IPSec 虛擬專(zhuān)用網(wǎng)的配置實(shí)現(xiàn)
上面啰嗦那么一大堆，好消耗耐心，還是來(lái)個(gè)實(shí)際配置吧！

網(wǎng)絡(luò)環(huán)境如下：

環(huán)境分析：

1、總公司內(nèi)網(wǎng)使用192.168.1.0/24網(wǎng)段地址，分公司使用192.168.2.0/24網(wǎng)段地址。R2路由器為公網(wǎng)上的路由器。R1及R3分別為總公司及分公司的網(wǎng)關(guān)服務(wù)器，所以一定會(huì)存在默認(rèn)路由指向公網(wǎng)的路由器。
2、總公司的內(nèi)網(wǎng)及分公司的內(nèi)網(wǎng)之間要建立虛擬專(zhuān)用網(wǎng)，但如果不配置別的東西，是會(huì)影響內(nèi)網(wǎng)訪問(wèn)Internet的，一般都是既可以建立虛擬專(zhuān)用網(wǎng)，也可以訪問(wèn)Internet，所以這個(gè)問(wèn)題也要解決。

需求如下：

1、要求實(shí)現(xiàn)總公司192.168.1.0/24和分公司的192.168.2.0/24網(wǎng)段通過(guò)虛擬專(zhuān)用網(wǎng)實(shí)現(xiàn)互通，并且不要影響這兩個(gè)網(wǎng)段訪問(wèn)公網(wǎng)，也就是R2路由器（訪問(wèn)公網(wǎng)路由器，通過(guò)端口復(fù)用的PAT技術(shù)實(shí)現(xiàn)，不要在R2路由器上配置任何路由）。

開(kāi)始配置：
1、自己配置相關(guān)的接口地址，并且開(kāi)啟接口，這里不詳細(xì)寫(xiě)出來(lái)了，配置接口IP地址格式如下：

路由器配置接口IP地址

R1#conf t
R1(config)#in f0/0
R1(config-if)#ip add 200.0.0.1 255.255.255.0
R1(config-if)#no sh

GNS3模擬器中PC機(jī)配置IP地址

PC1> ip 192.168.1.1 192.168.1.254 #配置IP及網(wǎng)關(guān)

2、配置R1路由器：

R1(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2     #配置默認(rèn)路由
#'以下是配置ISAKMP策略（也就是管理連接的配置）'
R1(config)#crypto isakmp policy 1    #策略序列號(hào)為“1”，范圍是1~10000，數(shù)值越小，優(yōu)先級(jí)越高
R1(config-isakmp)#encryption aes   #配置加密算法
R1(config-isakmp)#hash  sha    #hash命令指定驗(yàn)證過(guò)程中采用的散列算法
R1(config-isakmp)#authentication pre-share   #聲明設(shè)備認(rèn)證方式為“預(yù)先共享密鑰”
R1(config-isakmp)#group 2   #采用DH算法的強(qiáng)度為group2
R1(config-isakmp)#lifetime 10000   #可選，管理連接生存周期，默認(rèn)為86400s（24小時(shí)）
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 6 2019.com address 201.0.0.2  #配置“預(yù)先共享密鑰”
#'下面是數(shù)據(jù)連接配置'
R1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255    #定義虛擬專(zhuān)用網(wǎng)保護(hù)的流量   
R1(config)#crypto ipsec transform-set test-set ah-sha-hmac esp-aes #數(shù)據(jù)連接協(xié)商參數(shù)，“test-set”是自定義的名稱(chēng)
R1(cfg-crypto-trans)#mode tunnel   #可選，配置為隧道模式，默認(rèn)就是隧道模式
R1(cfg-crypto-trans)#exit
R1(config)#crypto map test-map 1 ipsec-isakmp    #將數(shù)據(jù)連接相關(guān)配置設(shè)定為MAP，“test-map”是自定義的名字
% NOTE: This new crypto map will remain disabled until a peer
        and a valid access list have been configured.
R1(config-crypto-map)#set peer 201.0.0.2    #虛擬專(zhuān)用網(wǎng)對(duì)端地址
R1(config-crypto-map)#set transform-set test-set    #將數(shù)據(jù)連接關(guān)聯(lián)剛才創(chuàng)建的傳輸集
R1(config-crypto-map)#match address 101   #匹配的ACL
R1(config-crypto-map)#int f0/0     #進(jìn)入外部接口
R1(config-if)#crypto map test-map      #應(yīng)用在外網(wǎng)接口
#'下面是要解決內(nèi)部主機(jī)訪問(wèn)互聯(lián)網(wǎng)問(wèn)題'
R1(config-if)#access-list 102 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255   #拒絕虛擬專(zhuān)用網(wǎng)的流量
R1(config)#access-list 102 permit ip any any    #放行其他任何流量
R1(config)#ip nat inside source list 102 int f0/0 overload    #采用端口復(fù)用的PAT方式，解決內(nèi)網(wǎng)訪問(wèn)互聯(lián)網(wǎng)的問(wèn)題
#'下面是進(jìn)入相關(guān)接口啟用NAT功能'。
R1(config)#int f0/0
R1(config-if)#ip nat outside 
R1(config-if)#in f1/0
R1(config-if)#ip nat inside

注：由于當(dāng)有NAT和虛擬專(zhuān)用網(wǎng)流量時(shí)，優(yōu)先匹配N(xiāo)AT，后匹配虛擬專(zhuān)用網(wǎng)，所以要在上面做PAT時(shí)，拒絕虛擬專(zhuān)用網(wǎng)的流量。

3、配置R3路由器：
由于R3和R1路由器的配置大同小異（甚至很多配置必須一樣，比如共享密鑰、采用的算法，否則無(wú)法建立虛擬專(zhuān)用網(wǎng)），以下就不注釋了

R3(config)#ip route 0.0.0.0 0.0.0.0 201.0.0.1
R3(config)#crypto isakmp policy 1
R3(config-isakmp)#encryption aes
R3(config-isakmp)#hash  sha
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#group 2
R3(config-isakmp)#lifetime 10000
R3(config-isakmp)#exit
R3(config)#crypto isakmp key 6 2019.com address 200.0.0.1
R3(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255       
R3(config)#crypto ipsec transform-set test-set ah-sha-hmac esp-aes
R3(cfg-crypto-trans)#mode tunnel
R3(cfg-crypto-trans)#exit
R3(config)#crypto map test-map 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
        and a valid access list have been configured.
R3(config-crypto-map)#set peer 200.0.0.1
R3(config-crypto-map)#set transform-set test-set
R3(config-crypto-map)#match address 101
R3(config-crypto-map)#int f0/0
R3(config-if)#crypto map test-map
R3(config-if)#
*Mar  1 00:51:55.511: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R3(config-if)#$ 102 deny   ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255    
R3(config)#access-list 102 permit ip any any
R3(config)#ip nat inside source list 102 int f0/0 overload
R3(config)#int f0/0
R3(config-if)#ip nat outside
R3(config-if)#in f1/0
R3(config-if)#ip nat inside

配置至此，就可以實(shí)現(xiàn)PC1及PC2互通了（虛擬專(zhuān)用網(wǎng)的作用），并且兩臺(tái)PC機(jī)都可以ping通R2路由器，要知道，雖然R1和R3路由器有默認(rèn)路由指向R2路由器，但是R2路由器是沒(méi)有到192.168.1.0和2.0網(wǎng)段的路由的，這就是PAT的作用?？梢宰约哼M(jìn)行ping測(cè)試。
4、附帶一些查看配置的命令：

R1#show crypto isakmp policy     #查看ISAKMP協(xié)商策略的配置結(jié)果
R1#show crypto isakmp sa            #查看管理連接SA的狀態(tài)
R1#show crypto ipsec transform-set        #查看IPSec傳輸集
R1#show crypto ipsec security-association lifetime    #查看數(shù)據(jù)連接建立的生存周期
R1#show crypto ipsec sa    #查看數(shù)據(jù)連接SA的細(xì)節(jié)信息
R1#show crypto map    #查看crypto  Map的信息，這個(gè)命令可以查看到crypto  map的名稱(chēng)、
//ACL、對(duì)等體的IP地址、應(yīng)用Crypto  map的接口等。

五、總結(jié)

1.由于涉及的技術(shù)、算法等一系列技術(shù)太多，所以進(jìn)行故障排錯(cuò)可能沒(méi)那么簡(jiǎn)單，可以使用“show run”命令，查看所有配置，對(duì)照兩臺(tái)路由器上有哪些配置是不匹配的，然后進(jìn)行重新配置。

2.一定要注意當(dāng)NAT和虛擬專(zhuān)用網(wǎng)流量同時(shí)存在時(shí)，會(huì)優(yōu)先匹配N(xiāo)AT，后匹配虛擬專(zhuān)用網(wǎng)，所以要在做PAT映射時(shí)，通過(guò)擴(kuò)展ACL拒絕去往分公司內(nèi)網(wǎng)的虛擬專(zhuān)用網(wǎng)的流量，否則會(huì)直接進(jìn)行PAT，然后轉(zhuǎn)發(fā)，最后會(huì)導(dǎo)致因?yàn)镽1路由器沒(méi)有去往192.168.2.0/24的路由而丟棄數(shù)據(jù)包。

———————— 本文至此結(jié)束，感謝閱讀

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性?xún)r(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專(zhuān)為企業(yè)上云打造定制，能夠滿足用戶(hù)豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)站標(biāo)題：Cisco路由器之IPSec虛擬專(zhuān)用網(wǎng)（包括相關(guān)知識(shí)點(diǎn)以及-創(chuàng)新互聯(lián)
標(biāo)題網(wǎng)址：http://bm7419.com/article36/cdicsg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供移動(dòng)網(wǎng)站建設(shè)、虛擬主機(jī)、外貿(mào)網(wǎng)站建設(shè)、定制開(kāi)發(fā)、微信公眾號(hào)、網(wǎng)站設(shè)計(jì)公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)