Cisco路由器ezvpn地址重叠测试

核心提示:1。概述:EzVPN,如果在硬件客户端的地址是在ezvpn服务器地址重叠,即使客户端模式的单向访问无法实现。静态NAT需要配置。为了不影响总部的公共网络,它需要静态。
1。总结:

EzVPN,如果在硬件客户端的地址是在ezvpn服务器地址重叠,即使客户端模式的单向访问无法实现。静态NAT需要配置。为了不影响总部的公共网络,有必要将静态NAT与动态PAT分开。

两。基本思想:

a.ezvpn客户端模式:

这只是分支机构对总部的单向访问,总部设置了静态NAT。当一个分支访问总部时,它认为它是网络段的另一个地址。

为了使总部静态NAT也对公共网络,局域网和基于路由器的端口与外网,帕特NAT启用配置;回环和NAT内分别设置外口和IP NAT外,作为对应,静态NAT,同时为了使流到环回接口。在网络端口PBR的配置、VPN流量需要打回港,流静态NAT在VPN。

b.ezvpn网络推广或网络加模式:

这两种方法可以双向交换。为了实现双向访问,总部内部和外部配置了两个静态NAT。同时,为了动态地将静态NAT与公共网络流量分离开来,采用不同的NAT配置方法。

三。测试拓扑:




四。基本配置:

总部服务器路由器:

Interface Ethernet0/0

IP地址10.1.1.2 255.255.255.0

没有关

ip route 0.0.0.0 0.0.0.0 10.1.1.1

B. Center Router总部:

接口Ethernet0 / 0

IP地址10.1.1.1 255.255.255.0

没有关

接口Ethernet0 / 1

IP地址202.100.1.1 255.255.255.0

没有关

ip route 0.0.0.0 0.0.0.0 202.100.1.10

C.互联网路由器:

接口Ethernet0 / 0

IP地址202.100.1.10 255.255.255.0

没有关

接口Ethernet0 / 1

IP地址202.100.2.10 255.255.255.0

没有关

D. Branch Router:

接口Ethernet0 / 0

IP地址10.1.1.1 255.255.255.0

没有关

接口Ethernet0 / 1

IP地址202.100.2.1 255.255.255.0

没有关

ip route 0.0.0.0 0.0.0.0 202.100.2.10

E.路由器内部分支:

接口Ethernet0 / 0

IP地址10.1.1.2 255.255.255.0

没有关

ip route 0.0.0.0 0.0.0.0 10.1.1.1

five.ezvpn配置:

a.ezvpn总部中心服务器路由器:

第一阶段:

密码ISAKMP策略10

预共享认证

在DES

2组

散列算法MD5

密码协议的客户端配置组ipsecgroup

关键的思科

(2)1.5期XAuth配置:

AAA的新模型

认证noacs线没有

台0线

登录认证noacs

线辅助0

登录认证noacs

用户名和密码以及

AAA认证登录XAuth认证的地方

(3)1.5期mode-cfg配置:

本地地址池ippool 123.1.1.100 123.1.1.200

IP访问列表扩展拆分

允许任何IP码0.0.0.255

AAA授权网络MCFG作者地方

密码协议的客户端配置组ipsecgroup

池ippool

ACL分

(4)第二阶段变换集和动态地图配置:

加密的IPSec ESP DES esp-md5-hmac ezvpnset变换集

dymap加密动态图10

集集ezvpnset变换

反向路由

第二阶段加密映射配置:

加密图哭地图客户端认证名单XAuth认证

加密图哭地图ISAKMP授权清单MCFG作者

密码映射映射客户端配置地址响应

图10加密图哭IPSec ISAKMP动态dymap

E0 / 1接口

加密地图

b.ezvpn硬件客户端分支路由器的配置:

ezvpn基本配置:

加密的IPSec客户端ezvpn EZ客户端

连接手册

集团ipsecgroup关键思科

客户机模式

同伴202.100.1.1

E0接口 / 0

加密的IPSec客户端ezvpn EZ客户端内

E0接口 / 1

加密的IPSec客户端ezvpn EZ的外部客户

(2)手动触发ezvpn连接:

加密的IPSec客户端ezvpn连接

加密的IPSec客户端ezvpn XAuth

用户名:XLL

密码:XLL

分#

* 3月1日00:05:21.047:% crypto-6-ezvpn_connection_up:(客户端)用户=组= ipsecgroup client_public_addr = 202.100.2.1 server_public_addr = 202.100.1.1 assigned_client_addr = 123.1.1.100。

分#显示加密IPSec客户端ezvpn

轻松VPN远程阶段:4



隧道名称:EZ客户端

在接口列表:以太网 / 0

外部接口:以太网 / 1

当前状态:ipsec_active

最近的事件:socket_up

地址:123.1.1.100

面膜:255.255.255.255

保存密码:不允许

隧道隧道清单:1

地址:码

掩码:255.255.255.0

协议:0x0

源端口:0

目的港:0

目前ezvpn同伴:202.100.1.1

此时,虽然VPN可以连接到它,但它不能连接到内部网络。

six.nat和策略路由的配置:

A.动态PAT配置:

(1)总部中心路由器配置:

接口Ethernet0 / 0

NAT启用

接口Ethernet0 / 1

NAT启用

IP访问列表扩展Internet

否认IP 10.1.1.0 0.0.0.255 123.1.1.0 0.0.0.255

允许任何IP 10.1.1.0 0.0.0.255

NAT的源列表互联网接口Ethernet0 / 1过载

测试:

服务器#平202.100.1.10



中止类型转义序列。

发送5, 100字节的ICMP回声202.100.1.10,超时为2秒:

!!!!!

成功率是100%(5 5),往返分钟/最大值= 48 105 216毫秒。

服务器#

(2)分支路由器配置:

接口Ethernet0 / 0

NAT启用

接口Ethernet0 / 1

NAT启用

IP访问列表扩展Internet

否认IP 10.1.1.0 0.0.0.255 0.0.0.255码

允许任何IP 10.1.1.0 0.0.0.255

NAT的源列表互联网接口Ethernet0 / 1过载

测试:

在#平202.100.2.1



中止类型转义序列。

发送5, 100字节的ICMP回声202.100.2.1,超时为2秒:

!!!!!

成功率是100%(5 5),往返分钟/最大值= 20 60 120毫秒。

b.静态NAT和策略路由配置:

-只需要在总部中心路由器上配置

在界面

IP地址1.1.1.1 255.255.255.252

内网ip

接口Ethernet0 / 1

NAT外

源IP NAT静态网络10.1.1.0 / 24码内

IP访问列表扩展VPN

允许IP 10.1.1.0 0.0.0.255 123.1.1.0 0.0.0.255

路线图VPN许可证10

匹配IP地址的VPN

在设置界面

接口Ethernet0 / 0

IP策略路由图VPN

C.测试:

透明加密IPSec客户端ezvpn

加密的IPSec客户端ezvpn连接

加密的IPSec客户端ezvpn XAuth

用户名:XLL

密码:XLL

* 3月1日00:09:33.803:% crypto-6-ezvpn_connection_up:(客户端)用户=组= ipsecgroup client_public_addr = 202.100.2.1 server_public_addr = 202.100.1.1 assigned_client_addr = 123.1.1.101。

分#

在#平172.16.1.2



中止类型转义序列。

发送5, 100字节的ICMP回声172.16.1.2,超时为2秒:

!!!!!

成功率是100%(5 5),往返分钟/最大值= 196 265 392毫秒。

在#

七。后记:

如果EzVPN采用网络扩展模式或网络扩展加模式,因为双方都可以发起访问积极,配置方式与上述不同,类似L2L VPN。

A.动态PAT配置:

(1)总部中心路由器配置:

接口Ethernet0 / 0

NAT启用

接口Ethernet0 / 1

NAT启用

IP访问列表扩展Internet

否认IP 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255

允许任何IP 10.1.1.0 0.0.0.255

NAT的源列表互联网接口Ethernet0 / 1过载

(2)分支路由器配置:

接口Ethernet0 / 0

NAT启用

接口Ethernet0 / 1

NAT启用

IP访问列表扩展Internet

否认IP 10.1.1.0 0.0.0.255 0.0.0.255码

允许任何IP 10.1.1.0 0.0.0.255

NAT的源列表互联网接口Ethernet0 / 1过载

b.静态NAT和策略路由配置:

(1)总部中心路由器:

在界面

IP地址1.1.1.1 255.255.255.252

内网ip

接口Ethernet0 / 1

NAT外

源IP NAT静态网络10.1.1.0 / 24码内

源IP NAT静态网络10.1.1.0 192.168.1.0 / 24外

IP访问列表扩展VPN

允许IP 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255

路线图VPN许可证10

匹配IP地址

在设置界面

接口Ethernet0 / 0

IP策略路由图VPN

第二分支路由器

在界面

IP地址192.168.1.1 255.255.255.0

加密的IPSec客户端ezvpn EZ客户端内

该分支通过NAT网络通过反向路由注入到总部中心路由器。

测试发现,如果服务器没有配置反向路由注入,即使隧道分离,客户端仍然将VPN流量发送到Internet。

C.测试:

透明加密IPSec客户端ezvpn

加密的IPSec客户端ezvpn连接

加密的IPSec客户端ezvpn XAuth

用户名:XLL

密码:XLL

分#

* 3月1日00:11:53.395:% crypto-6-ezvpn_connection_up:(客户端)用户=组= ipsecgroup client_public_addr = 202.100.2.1 server_public_addr = 202.100.1.1 nem_remote_subnets = 10.1.1.0 / / 255.255.255.0 192.168.1.0 255.255.255.0。



在#平172.16.1.2



中止类型转义序列。

发送5, 100字节的ICMP回声172.16.1.2,超时为2秒:

!!!!!

成功率是100%(5 5),往返分钟/最大值= 192 258 348毫秒。

在#

ping在同一时间在其他调试IP ICMP,你可以看到后面的包。

服务器#

* 3月2日22:11: ICMP回送答复7.472:发送,SRC 10.1.1.2,DST 192.168.1.2

* 3月2日22:11: ICMP回送答复7.740:发送,SRC 10.1.1.2,DST 192.168.1.2

* 3月2日22:11: ICMP回送答复7.972:发送,SRC 10.1.1.2,DST 192.168.1.2

* 3月2日22:11: ICMP回送答复8.160:发送,SRC 10.1.1.2,DST 192.168.1.2

* 3月2日22:11: ICMP回送答复8.412:发送,SRC 10.1.1.2,DST 192.168.1.2



反过来,它也可以通过:

服务器# ping 192.168.1.2



中止类型转义序列。

发送5, 100字节的ICMP回声192.168.1.2,超时为2秒:

!!!!!

成功率是100%(5 5),往返分钟/最大值= 176 248 372毫秒。

在#

* 3月2日19:21: ICMP回送答复54.933:发送,SRC 10.1.1.2,DST 172.16.1.2

* 3月2日19:21: ICMP回送答复55.273:发送,SRC 10.1.1.2,DST 172.16.1.2

* 3月2日19:21: ICMP回送答复55.481:发送,SRC 10.1.1.2,DST 172.16.1.2

* 3月2日19:21: ICMP回送答复55.669:发送,SRC 10.1.1.2,DST 172.16.1.2

* 3月2日19:21: ICMP回送答复55.857:发送,SRC 10.1.1.2,DST 172.16.1.2