L2L虚拟专用网络部署
一个局域网与另一个局域网之间建立通信,加密双方地址固定,两边地址都是公有地址,拓扑结构比较简单。
实验拓扑
实验流程
1、配置 IP 地址,保证直连联通;
2、R1/5 做默认路由到 R2/4,R2/R4 做默认路由到 R3;
3、R2 和 R4 执行 PAT 技术,使得 R1/5 能够访问互联网R3;
4、部署 L2L 虚拟专用网络,开启抓包,使得 R1 和 R5 能够相互访问。
部署
R2:
ip access-list extended NAT
permit ip 192.168.12.0 0.0.0.255 any
interface f0/0
ip nat inside
interface f1/0
ip nat outside
ip nat inside source list NAT interface f1/0 overload
R4:
ip access-list extended NAT
permit ip 192.168.45.0 0.0.0.255 any
interface f1/0
ip nat inside
interface f0/0
ip nat outside
ip nat inside source list NAT interface f0/0 overload
R2(根据2段9个包走):
1、定义第一阶段策略集
crypto isakmp policy 1
encryption 3des
authentication pre-share
group 2 //DH算法
hash sha
2、定义预共享密钥
crypto isakmp key 0 cisco address 100.1.34.4
3、定义第二阶段转换集
crypto ipsec transform-set I2ltrans esp-3des esp-sha-hmac
4、定义感兴趣流
ip access-list extended l2lacl
permit ip 192.168.12.0 0.0.0.255 192.168.45.0 0.0.0.255
5、定义映射图
crypto map l2lmap 1 ipsec-isakmp
set peer 100.1.34.4
set transform-set l2ltrans
match address l2lacl
6、应用于接口
interface f1/0
crypto map l2lmap
R4 与 R2 的配置类似。
排错命令:
show run I s crypto
show ip access
show crypto isakmp sa //查第一阶段 sa
show crypto ipsec sa //查第二阶段 sa
clear crypto session //清除邻居关系
debug crypto isakmp
debug crypto ipsec
spi 索引号,通过源目 ip 和源目端口计算出,用来区分不同的虚拟专用网络的链路。
实验结果
R2 上匹配的两条 ACL 相互冲突:
处理方法:
此时抓包,实验验证成功:
