扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
先介绍下Site to site VPN的用途,一是公司与子公司之间互通这个用的最多,它一般同时还与NAT同时使用;二是对公司内二个网段之间互通。
一、实验拓扑:
总公司R1使用内网10.100.92.0网段;R2模拟Internet接入商接口;子公司R3使用内网192.168.3.0网段,我们要实现子公司用户能访问总子公内的资源。
二、配置
1、将R1、R2、R3,接口IP及路由配通;意味着公司与子公司之间的公网连接已通。
R1(config)#int lo0
R1(config-if)#ip add 10.100.92.1 255.255.255.0
R1(config)#int s1/0
R1(config-if)#ip add 218.1.2.1255.255.255.252
R1(config-if)#no shut
R1(config)#ip router 0.0.0.00.0.0.0 218.1.2.2
R1#wr
R2(config)#int s1/0
R2(config-if)#ip add 218.1.2.2 255.255.255.252
R2(config)#int s1/1
R2(config-if)#ip add 220.2.3.1255.255.255.252
R2(config-if)#no shut
R2(config)#wr
R3(config)#int lo0
R3(config-if)#ip add 192.168.3.1255.255.255.0
R3(config)#int s1/0
R3(config-if)#ip add 220.2.3.2255.255.255.252
R3(config-if)#no shut
R3(config)#ip router 0.0.0.00.0.0.0 220.2.3.1
R3(config)#wr
现在公网之间应该是通了,我们测试一下,如果不通大家请检查下。
R1#ping 218.1.2.2
R1#ping 220.2.3.2
R3#ping 220.2.3.1
R3#ping 218.1.2.1
这时我们从内网ping是不通的测试一下:
R1#ping ip 192.168.3.1 source10.100.92.1
二、配置VPN使二个内网能共享资源
1)、第一步配置IKE策略
R1(config)#crypto isakmp policy 10 定义10号策略;
R1(config-isakmp)#encr 3des 加密方式使用3des;
R1(config-isakmp)#hash md5 摘要使用md5;
R1(config-isakmp)#authenticationpre-share 认证使用预共享;
R1(config-isakmp)#group 2 使用2号组D-H算法;
R1(config-isakmp)#exit
2)、第二步设置预共享密钥
R1(config-isakmp)#cypto isakmp cisco123 address 220.2.3.2
3)、第三步设置传输集
R1(config)#crypto ipsectransform-set ccsp esp-des esp-md5-hmac
R1(cfg-crypto-trans)#mode tunnel
4)、第四步配置映射
R1(config)#crypto map cisco 10ipsec-isakmp
R1(config-crypto-map)#set peer 220.2.3.2
R1(config-crypto-map)#settransform-set ccsp
R1(config-crypto-map)#match address101
R1(config)#access-list 101 permitip 10.100.92.0 0.0.0.255 192.168.3.0 0.0.0.255
5)、第五步应用到接口
R1(config)#interface Serial1/0
R1(config-if)#crypto map Cisco
六)、对子公司路由器R3进行配置
1)、第一步配置IKE策略
R3(config)#crypto isakmp policy 10 定义10号策略;
R3(config-isakmp)#encr 3des 加密方式使用3des;
R3(config-isakmp)#hash md5 摘要使用md5;
R3(config-isakmp)#authenticationpre-share 认证使用预共享;
R3(config-isakmp)#group 2 使用2号组D-H算法;
R3(config-isakmp)#exit
2)、第二步设置预共享密钥
R3(config-isakmp)#cypto isakmp cisco123 address 218.1.2.1
3)、第三步设置传输集
R3(config)#crypto ipsectransform-set ccsp esp-des esp-md5-hmac
R3(cfg-crypto-trans)#mode tunnel
4)、第四步配置映射
R3(config)#crypto map cisco 10ipsec-isakmp
R3(config-crypto-map)#set peer 218.1.2.1
R3(config-crypto-map)#settransform-set ccsp
R3(config-crypto-map)#match address101
R3(config)#access-list 101 permitip 192.168.3.0 0.0.0.255 10.100.92.0 0.0.0.255
5)、第五步应用到接口
R3(config)#interface Serial1/0
R3(config-if)#crypto map Cisco
OK,完成配置,我们来检查下:
R
六)、对子公司路由器R3进行配置
1)、第一步配置IKE策略
R3(config)#crypto isakmp policy 10 定义10号策略;
R3(config-isakmp)#encr 3des 加密方式使用3des;
R3(config-isakmp)#hash md5 摘要使用md5;
R3(config-isakmp)#authenticationpre-share 认证使用预共享;
R3(config-isakmp)#group 2 使用2号组D-H算法;
R3(config-isakmp)#exit
2)、第二步设置预共享密钥
R3(config-isakmp)#cypto isakmp cisco123 address 218.1.2.1
3)、第三步设置传输集
R3(config)#crypto ipsectransform-set ccsp esp-des esp-md5-hmac
R3(cfg-crypto-trans)#mode tunnel
4)、第四步配置映射
R3(config)#crypto map cisco 10ipsec-isakmp
R3(config-crypto-map)#set peer 218.1.2.1
R3(config-crypto-map)#settransform-set ccsp
R3(config-crypto-map)#match address101
R3(config)#access-list 101 permitip 192.168.3.0 0.0.0.255 10.100.92.0 0.0.0.255
5)、第五步应用到接口
R3(config)#interface Serial1/0
R3(config-if)#crypto map Cisco
OK,完成配置,我们来检查下:
R1#sho crypto isakmp sa
应该可以看到R3的IP,并且是活跃连接的,没有也没关系我们激活它。
R1#ping ip 192.168.3.1 source10.100.92.1
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者