在NAT环境中实现Site-to-Site ×××

拓扑如下

网络环境介绍：

site1和site2通过NAT的方式连接到ISP，现在要求通过使用site-to-site ×××来实现site1和site2内网之间的通信。IP地址规划如图所示。

Site1的配置

首先在site1上做好PAT的配置，这里有一点要注意的是要deny掉site1内网到site2内网的流量，否则在site1接收到192.168.1.0 到172.16.1.0 的流量后，不会启动×××通道。

access-list 100 deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255

access-list 100 permit ip 192.168.1.0 0.0.0.255 any

ip nat inside source list 100 int s1/0 overload

int s1/0

ip nat outside

int fa0/0

ip nat inside

site1到ISP的默认路由

ip route 0.0.0.0 0.0.0.0 12.1.1.2

现在在site1上开始×××的相关配置

定义感兴趣的流量

access-list 101 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255

ISAKMP的相关配置

crypto isakmp policy 1    创建isakmp策略集

encryption 3des    使用3DES加密算法

authentication pre-share    使用预共享密钥来认证对方身份

hash sha    使用sha的哈希算法来实现数据传输的完整性

group 5    DH组

lifetime 86400    isakmp协商的策略集的存活时间

!

crypto isakmp key cisco address 23.1.1.2    预共享密钥的密码cisco ，指定进行认证的对端的IP地址23.1.1.2

crypto ipsec transform-set tosite2 esp-3des esp-sha-hmac    创建名位tosite2的ipsec转换集

mode tunnel    使用隧道模式

!

crypto map 1 site1tosite2 ipsec-isakmp    创建名为site1tosite2的映射

match address 101

set peer 23.1.1.2

set transform-set tosite2

!

interface s1/0    应用map到接口

crypto map site1tosite2

 

对于site2，就是site1的逆向过程，除了ACL以及指定对端的peer是site1的S1/0口的地址外，其它的配置基本上都是一样的，在这里就不多赘述了。

现在来验证下上面的配置是否正确，使用PC1 ping PC3观察实验结果：

VPCS 1 >ping 172.16.1.2
172.16.1.2 icmp_seq=1 timeout
172.16.1.2 icmp_seq=2 timeout
172.16.1.2 icmp_seq=3 time=194.000 ms
172.16.1.2 icmp_seq=4 time=92.000 ms
172.16.1.2 icmp_seq=5 time=53.000 ms

VPCS 1 >show

NAME   IP/CIDR              GATEWAY           MAC                LPORT  RPORT
PC1    192.168.1.2/24       192.168.1.1       00:50:79:66:68:00  20000  30000
PC2    172.16.1.2/24        172.16.1.1        00:50:79:66:68:01  20001  30001

可以看到site1内网的PC1能够ping通site2内网的PC2。

同时观察下isakmp sa的情况

site1#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
23.1.1.2        12.1.1.1        QM_IDLE           1001    0 ACTIVE

IPv6 Crypto ISAKMP SA

ACTIVE状态显示×××通道已经被激活。

现在来看看ipsec sa的情况

site1#show crypto ipsec sa

interface: Serial1/0
    Crypto map tag: site1tosite2, local addr 12.1.1.1

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
   current_peer 23.1.1.2 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 8, #pkts encrypt: 8, #pkts digest: 8
    #pkts decaps: 8, #pkts decrypt: 8, #pkts verify: 8
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 2, #recv errors 0

     local crypto endpt.: 12.1.1.1, remote crypto endpt.: 23.1.1.2
     path mtu 1500, ip mtu 1500, ip mtu idb Serial1/0
     current outbound spi: 0xC12065F7(3240125943)

    inbound esp sas:
      spi: 0xE4961777(3835041655)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 3, flow_id: 3, crypto map: site1tosite2
        sa timing: remaining key lifetime (k/sec): (4513974/2661)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xC12065F7(3240125943)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 4, flow_id: 4, crypto map: site1tosite2
        sa timing: remaining key lifetime (k/sec): (4513974/2660)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:
site1#

从上面可以看出，ipsec sa的协商是双向的，inbound和outbound ，转换集，传输模式，状态ACTIVE，说明ipsec sa的协商是成功的。

转载于:https://blog.51cto.com/scorpion/328118