实例讲解VPN网络的搭建和路由设置（3）

　　huadong(config)#ip nat inside source route-map abc interface serial0/0 overload

　　上述命令的作用是声明使用串口的注册IP地址，在数据包遵守对外访问的规则的情况下，使用PAT技术。

　　以下是测试命令，通过该命令，可以判断配置是否有根本的错误。例如，在命令的输出中，说明了内部接口和外部接口。并注意检查输出与实际要求是否相符。

　　huadong#show ip nat stat

　　Total active translations: 0 (0 static, 0 dynamic; 0 extended)

　　Outside interfaces:

　　Serial0/0

　　Inside interfaces:

　　Ethernet0/0

　　……

　　在IP地址为172.17.1.100的计算机上，执行必要的测试工作，以验证内部计算机可以通过PAT访问Internet。

　　c:>ping 210.75.32.10

　　……

　　Reply from 210.75.32.10: bytes=32 time=1ms TTL=255

　　……

　　c:>ping http://www.ninemax.com

　　……

　　Reply from 211.100.15.36: bytes=32 time=769ms TTL=248

　　……

　　此时，在路由器上，可以通过命令观察PAT的实际运行情况，再次验证PAT配置正确。

　　huadong#show ip nat tran

　　Pro Inside global Inside local Outside local Outside global

　　icmp 210.75.32.9:1975 172.17.1.100:1975 210.75.32.10:1975 210.75.12.10:1975

　　……

　　以上测试过程说明，NAT配置正确。内部计算机可以通过安全的途径访问Internet。当然，如果业务要求，不允许所有的内部员工/计算机，或只允许部分内部计算机访问Internet，那么，只需要适当修改上述配置命令，即可实现

　　3. 配置ESP-DES IPSec并测试

　　以下配置是配置VPN的关键。首先，VPN隧道只能限于内部地址使用。如果有更多的内部网络，可在此添加相应的命令。

　　huadong(config)#access-list 105 permit ip 172.17.1.0 0.0.0.255 172.16.0.0 0.0.255.255

　　huadong(config)#access-list 106 permit ip 172.17.1.0 0.0.0.255 172.17.2.0 0.0.0.255

　　huadong(config)#access-list 107 permit ip 172.17.1.0 0.0.0.255 172.17.3.0 0.0.0.255

　　指定VPN在建立连接时协商IKE使用的策略。方案中使用sha加密算法，也可以使用md5算法。

　　在IKE协商过程中使用预定义的码字。

　　huadong(config)#crypto isakmp policy 10

　　huadong(config-isakmp)#hash sha

　　huadong(config-isakmp)#authentication pre-share

　　huadong(config-isakmp)#exit

　　针对每个VPN路由器，指定预定义的码字。可以一样，也可以不一样。但为了简明起见，建议使用一致的码字。