请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

   思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器

GRE-over-IPsec总部Dynamic MAP并且只有总部有NAT情况下思科路由器VPN配置

已有 112 次阅读2019-11-15 16:53 |个人分类:VPN|系统分类:分享| VPN, dynamic map, gre over ipsec, gre, cisco

一.概述
    一般情况下,总部会有固定的公网IP,但是分支机构通过宽带上网,没有固定的公网IP,有时甚至是假的公网IP,实际ISP做一次PAT再出公网。另外分支网络一般比较简单,可能就一台路由器,一台交换机,这就需要在边界路由器上配置VPN。

二.测试拓扑

    测试的拓扑如下,实际测试时,Branch路由器接口的DHCP由手工修改接口IP来实现,另外在Internet路由器配置动态PAT,目的是模拟Branch获取的不是实际公网IP的情况。同时,在Internet路由器配置DNS服务器,Branch为DNS客户端,通过同时修改DNS记录和Center公网口的IP,来模拟DDNS。

三.配置步骤
1.基本配置
①PC路由器
hostname PC
interface Ethernet0/0
    ip address 192.168.1.1 255.255.255.0
    no shutdow
ip route 0.0.0.0 0.0.0.0 192.168.1.10
②Branch路由器
hostname Branch
interface Loopback0
    ip address 11.1.1.1 255.255.255.255
interface Ethernet0/0
    ip address 192.168.1.10 255.255.255.0
    ip nat inside
    no shutdow
interface Ethernet0/1
    ip address 202.100.1.1 255.255.255.0
    ip nat outside
    no shutdown
ip route 0.0.0.0 0.0.0.0 202.100.1.10
③Internet路由器
hostname Internet
interface Ethernet0/0
    ip address 202.100.1.10 255.255.255.0
    ip nat inside
    no shutdow
interface Ethernet0/1
    ip address 61.128.1.10 255.255.255.0
    ip nat outside
    no shutdow
④Center路由器
hostname Center
interface Ethernet0/0
    ip address 61.128.1.1 255.255.255.0
    ip nat outside
    no shutdow
interface Ethernet0/1
    ip address 10.1.1.10 255.255.255.0
    ip nat inside
    no shutdow
ip route 0.0.0.0 0.0.0.0 61.128.1.10
⑤Center-VPN路由器
interface Loopback0
    ip address 192.168.2.1 255.255.255.0
    ip ospf network point-to-point
interface Ethernet0/0
    ip address 10.1.1.1 255.255.255.0
    no shutdow
ip route 0.0.0.0 0.0.0.0 10.1.1.10
2.DNS配置
Internet路由器
ip dns server
ip host center.yuntian.com 61.128.1.1
Branch路由器
ip name-server 202.100.1.10
③验证
3.GRE隧道配置
①Branch路由器
interface Tunnel0
    ip address 172.16.1.1 255.255.255.0
    tunnel source Loopback0
    tunnel destination 10.1.1.1
Center-VPN路由器
interface Tunnel0
    ip address 172.16.1.100 255.255.255.0
    tunnel source Ethernet0/0
    tunnel destination 11.1.1.1
备注:tunnel目的地址必须为对方配置的tunnel源地址。

4.NAT配置
①Branch路由器
ip access-list extended pat
    permit ip 192.168.1.0 0.0.0.255 any
ip nat inside source list pat interface Ethernet0/1 overload
②Internet路由器
ip access-list extended pat
    permit ip 202.100.1.0 0.0.0.255 any
ip nat inside source list pat interface Ethernet0/1 overload
②Center路由器
ip nat inside source static udp 10.1.1.1 500 interface Ethernet0/0 500
ip nat inside source static udp 10.1.1.1 4500 interface Ethernet0/0 4500

5.VPN及动态路由配置
Branch-VPN路由器
--第一阶段策略
crypto isakmp policy 10
    encr 3des
    hash md5
    authentication pre-share
    group 2
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
--第二节阶段转换集
crypto ipsec transform-set transet esp-3des esp-md5-hmac
备注:实际测试发现,存在NAT的情况下,都会是tunnel模式,即使配置成transport模式
---配置感兴趣流
ip access-list extended gre
    permit gre host 11.1.1.1 host 10.1.1.1
---配置静态crypto map
crypto map crymap 10 ipsec-isakmp
    set peer  center.yuntian.com dynamic
    set transform-set transet
    match address gre
---配置DPD
crypto isakmp keepalive 10
---物理口应用静态crypto map
interface Ethernet0/0
     crypto map crymap
--配置动态路由
router ospf 1
    passive-interface Ethernet0/0
    network 172.16.1.0 0.0.0.255 area 0
    network 192.168.1.10 0.0.0.0 area 0
②Center-VPN路由器
--第一阶段策略
crypto isakmp policy 10
    encr 3des
    hash md5
    authentication pre-share
    group 2
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
--第二节阶段转换集
crypto ipsec transform-set transet esp-3des esp-md5-hmac
---配置动态及静态crypto map
crypto dynamic-map dymap 10
    set transform-set transet
crypto map crymap 10 ipsec-isakmp dynamic dymap
---配置DPD
crypto isakmp keepalive 10
---物理口应用静态crypto map
interface Ethernet0/0
     crypto map crymap
--配置动态路由
router ospf 1
    passive-interface Loopback0
    network 172.16.1.0 0.0.0.255 area 0
    network 192.168.2.1 0.0.0.0 area 0    

四.测试
1.通过ospf能够正常获取路由
2.branch路由器修改公网接口地址测试
在修改地址回车之前,PC先ping 对端地址,可以看到修改地址会导致丢两个包

3.Center路由器修改公网接口地址
①修改修改dns记录
②修改接口地址
③在修改地址回车之前,PC先ping 对端地址,可以看到修改地址会导致丢13个包

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)

路过

鸡蛋

鲜花

握手

雷人

评论 (0 个评论)

facelist

您需要登录后才可以评论 登录 | 立即注册

Archiver | 思科社区  

GMT+8, 2019-12-6 11:09 , Processed in 0.059954 second(s), 22 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

返回顶部