设为首页收藏本站不良信息举报Q:2000617

ROS软路由论坛 ROSABC.com 网络方案网络工程交流

 找回密码
 会员注册

QQ登录

只需一步,快速开始

ROS软路由论坛 ROSABC.com 网络方案网络工程交流 首页 路由器 路由器品牌和型号 Cisco 思科 路由器 查看内容

思科路由器VPN配置: site-to-site VPN (上)

2014-11-22 12:55| 发布者: admin| 查看: 1046| 评论: 0

摘要: 公司总部和分部分别位于广东和香港,要求总部的部分子网可以和香港的部分子网进行直接通信,但是私网地址是不能够在公网上路由的,那么如何实现用户需求呢? 我们使用 site-to-sit VPN 来解决这个问题。 实验准 ...

 

公司总部和分部分别位于广东和香港,要求总部的部分子网可以和香港的部分子网进行直接通信,但是私网地址是不能够在公网上路由的,那么如何实现用户需求呢?

我们使用 site-to-sit VPN 来解决这个问题。

实验准备阶段:

实现私网地址可以和公网上的任何一个地址进行通信,比如总部地址 172.16.1.2 可以ping通 ISP的f0/0接口 环回接口1.1.1.1 和 R2的f0/0接口。

配置过程:

 

Switch(config)#hostname sw1   更改设备名称

sw1(config)#exit

sw1#vlan database             进入vlan数据库模式

sw1(vlan)#vlan 2              

VLAN 2 added:

    Name: VLAN0002

sw1(vlan)#vlan 3

VLAN 3 added:

    Name: VLAN0003

sw1(vlan)#vlan 4

VLAN 4 added:

    Name: VLAN0004             创建了三个vlan 

 

 

sw1(config)#int f0/1

sw1(config-if)#switchport mode ac

sw1(config-if)#switchport access vlan 2

sw1(config-if)#exit

sw1(config)#int f0/2

sw1(config-if)#switchport mode ac

sw1(config-if)#switchport access vlan 3

sw1(config-if)#exit

sw1(config)#int f0/3

sw1(config-if)#switchport mode ac

sw1(config-if)#switchport access vlan 4

sw1(config-if)#exit                            将接口划入相应  vlan

 

 

 

sw1(config)#int vlan 2

sw1(config-if)#ip add 172.16.1.1 255.255.255.0

sw1(config-if)#no shut

sw1(config-if)#exit

sw1(config)#int vlan 3

sw1(config-if)#ip add 172.16.2.1 255.255.255.0

sw1(config-if)#no shut

sw1(config-if)#exit

sw1(config)#int vlan 4

sw1(config-if)#ip add 172.16.3.1 255.255.255.0

sw1(config-if)#no shut

sw1(config-if)#exit                              分别为 vlan 配置 IP地址

 

 

sw1(config)#int f0/4

sw1(config-if)#no sw              将端口转换为3层端口

sw1(config-if)#ip add 192.168.100.1 255.255.255.0   配置IP地址

sw1(config-if)#no shut

 

 

 

 

sw1(config)#router eigrp 90

sw1(config-router)#net 172.16.1.0

sw1(config-router)#net 172.16.2.0

sw1(config-router)#net 172.16.3.0

sw1(config-router)#net 192.168.100.0

sw1(config-router)#no au

 

 

sw1(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.2   配置默认路由指向 R1

 

使用 eigrp 协议宣告自身路由条目

 

Router(config)#hostname r1

r1(config)#int f0/0

r1(config-if)#ip add 192.168.100.2 255.255.255.0

r1(config-if)#no shut             

r1(config-if)#exit

r1(config)#int f0/1

r1(config-if)#ip add 12.1.1.1 255.255.255.0

r1(config-if)#no shut                         配置路由器R1的IP地址

 

r1(config)#router eigrp 90

r1(config-router)#net 192.168.100.0

r1(config-router)#no auto-summary 

r1(config-router)#exit                        R1宣告自身路由条目

配置左侧三台PC的IP地址分别为 

172.16.1.2  172.16.2.2  172.16.3.2     过程略

查看 sw1 和 r1 的路由表

 

 

 

 

此时 总部内部网络搭建成功 可以时间 vlan之间的通信 以及可以ping 通边界路由器

 

PC>ping 172.16.2.2

Reply from 172.16.2.2: bytes=32 time=8ms TTL=127

Reply from 172.16.2.2: bytes=32 time=4ms TTL=127

PC>ping 172.16.3.2

Pinging 172.16.3.2 with 32 bytes of data:

Reply from 172.16.3.2: bytes=32 time=8ms TTL=127

Reply from 172.16.3.2: bytes=32 time=8ms TTL=127

实现 vlan 之间的通信

 

PC>ping 192.168.100.2

Reply from 192.168.100.2: bytes=32 time=9ms TTL=254

Reply from 192.168.100.2: bytes=32 time=5ms TTL=254

实现内部计算机 ping 通边界路由

公司总部网络配置成功,继续配置分支机构公司网络

 

Switch(config)#hostname sw2

sw2(config)#exit

sw2# vlan database

sw2(vlan)#

sw2(vlan)#vlan 2

VLAN 2 added:

    Name: VLAN0002

sw2(vlan)#vlan 3

VLAN 3 added:

    Name: VLAN0003

sw2(vlan)#exit

sw2#

sw2#config

sw2(config)#int f0/2

sw2(config-if)#switchport ac

sw2(config-if)#switchport access vlan 2      将端口划入相应vlan

 

sw2(config)#int f0/3

sw2(config-if)#switchport mode ac

sw2(config-if)#switchport access vlan 3      将接口划入响应 vlan

sw2(config)#int vlan 2

sw2(config-if)#ip add 172.16.10.1 255.255.255.0

sw2(config-if)#no shut

sw2(config-if)#exit

sw2(config)#

sw2(config)#int vlan 3

sw2(config-if)#ip add 172.16.20.1 255.255.255.0

sw2(config-if)#no shut

sw2(config-if)#exit

sw2(config)#int f0/1

sw2(config-if)#no sw

sw2(config-if)#ip add 192.168.200.1 255.255.255.0

sw2(config-if)#no shut

 

sw2(config)#router eigrp 90

sw2(config-router)#net 172.16.10.0

sw2(config-router)#net 172.16.20.0

sw2(config-router)#net 192.168.200.0

sw2(config-router)#no au

sw2(config-router)#exit

sw2(config)#ip route 0.0.0.0 0.0.0.0 192.168.200.2

 

Router(config)#hostname r2

 

 

r2(config)#int f0/1

r2(config-if)#ip add 192.168.200.2 255.255.255.0

r2(config-if)#no shut

r2(config)#int f0/0

r2(config-if)#ip add 23.1.1.1 255.255.255.0

r2(config-if)#no shut

r2(config-if)#exit

 

r2(config)#router eigrp 90

r2(config-router)#net 192.168.200.0 

r2(config-router)#no au

 

查看 sw2 和 r2 的路由表:

配置分支机构内客户机的IP地址,此时分支机构内客户机可以实现 vlan 之间通信  以及可以和边界路由器通信。继续配置ISP路由器:

 

Router(config)#hostname ISP

ISP(config)#int f0/0

ISP(config-if)#ip add 12.1.1.2 255.255.255.0

ISP(config-if)#no shut

ISP(config-if)#int f0/1

ISP(config-if)#ip add 23.1.1.2 255.255.255.0

ISP(config-if)#no shut

ISP(config-if)#exit

ISP(config)#int lo 0

ISP(config-if)#ip add 1.1.1.1 255.255.255.0

ISP(config-if)#no shut

ISP路由器配置成功,继续配置:

r1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.2

r2(config)#ip route 0.0.0.0 0.0.0.0 23.1.1.2

在边界路由器上配置NAT 

 

r1(config)#ip access-list extended nat

r1(config-ext-nacl)#permit ip 172.16.1.0 0.0.0.255 any

r1(config-ext-nacl)#permit ip 172.16.2.0 0.0.0.255 any

r1(config-ext-nacl)#permit ip 172.16.3.0 0.0.0.255 any

r1(config-ext-nacl)#exit

创建NAT感兴趣流

 

r1(config)#ip nat pool nat 12.1.1.1 12.1.1.1 netmask 255.255.255.0  创建NAT地址池

r1(config)#ip nat inside source list nat pool nat overload    将ACL和地址池联系在一起

 

r1(config)#int f0/0

r1(config-if)#ip nat inside 

r1(config-if)#exit

r1(config)#int f0/1

r1(config-if)#ip nat outside 

配置路由器 R2 的NAT

 

 

 

 

r2(config)#int f0/1

r2(config-if)#ip nat in

r2(config-if)#exit

r2(config)#int f0/0

r2(config-if)#ip nat ou

 http://www.luyouqiwang.com/14847

r2(config)#ip access-list extended nat

r2(config-ext-nacl)#permit ip 172.16.10.0 0.0.0.255 any

r2(config-ext-nacl)#permit ip 172.16.20.0 0.0.0.255 any

r2(config-ext-nacl)#exit

配置NAT感兴趣流

r2(config)#ip nat pool nat 23.1.1.1 23.1.1.1 netmask 255.255.255.0

r2(config)#exit

配置 NAT地址池

r2(config)#ip nat inside source list nat pool nat overload 

关联ACL 和 NAT地址池,

此时我们可以实现总部和分支机构的内网可以和任意公网地址相通信。

 

PC>ping 1.1.1.1

Pinging 1.1.1.1 with 32 bytes of data:

Request timed out.

Reply from 1.1.1.1: bytes=32 time=36ms TTL=253

Reply from 1.1.1.1: bytes=32 time=66ms TTL=253

Reply from 1.1.1.1: bytes=32 time=7ms TTL=253

Ping statistics for 1.1.1.1:

    Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),

Approximate round trip times in milli-seconds:

    Minimum = 7ms, Maximum = 66ms, Average = 36ms

PC>ping 23.1.1.1

Pinging 23.1.1.1 with 32 bytes of data:

Request timed out.

Reply from 23.1.1.1: bytes=32 time=15ms TTL=252

Reply from 23.1.1.1: bytes=32 time=17ms TTL=252

Reply from 23.1.1.1: bytes=32 time=10ms TTL=252

Ping statistics for 23.1.1.1:

    Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),

Approximate round trip times in milli-seconds:

    Minimum = 10ms, Maximum = 17ms, Average = 14ms

 

成功实现预期目的  下一步我们开始配置 site-to-SITE  VPN

收藏 邀请
上一篇:两台Cisco路由器上配置VPN的方法和实例下一篇:CISCO PIX防火墙及网络安全配置指南

相关分类

不良信息举报Q:2000617

软路由

不良信息举报Q:2000617|Archiver|ROS软路由论坛 ROSABC.com 网络方案网络工程交流

GMT+8, 2024-5-20 16:04 , Processed in 0.238833 second(s), 15 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

返回顶部