日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

實(shí)例講解VPN網(wǎng)絡(luò)的搭建和路由設(shè)置( 二 )

云知道



(1) 配置外出路由并測試

主要是配置缺省路由 。

huadong(config)#ip route 0.0.0.0 0.0.0.0 210.75.32.9

huadong#ping 211.100.15.36


……

!!!!!

……

結(jié)果證實(shí)本路由器可以通過ISP訪問Internet 。

(2) 配置PAT,使內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)可以訪問外部網(wǎng)絡(luò),但不能訪問總部和分支機(jī)構(gòu)

主要是基于安全目的,不希望內(nèi)部網(wǎng)絡(luò)被外部網(wǎng)絡(luò)所了解,而使用地址轉(zhuǎn)換(NAT)技術(shù) 。同時(shí),為了節(jié)約費(fèi)用,只租用一個(gè)IP地址(路由器使用) 。所以,需要使用PAT技術(shù) 。使用NAT技術(shù)的要害是指定內(nèi)外端口和訪問控制列表 。

在訪問控制列表中,需要將對其他內(nèi)部網(wǎng)絡(luò)的訪問請求包廢棄,保證對其他內(nèi)部網(wǎng)絡(luò)的訪問是通過IPSec來實(shí)現(xiàn)的 。

huadong(config)#inter eth0/0

huadong(config-if)#ip nat inside

huadong(config-if)#inter serial0/0

huadong(config-if)#ip nat outside

huadong(config-if)#exit

以上命令的作用是指定內(nèi)外端口 。

huadong(config)#route-map abc permit 10

huadong(config-route-map)#match ip address 150

huadong(config-route-map)#exit

以上命令的作用是指定對外訪問的規(guī)則名 。

huadong(config)#Access-list 150 deny 172.17.1.0 0.0.0.255 172.16.0.0 0.0.255.255

huadong(config)#access-list 150 deny 172.17.1.0 0.0.0.255 172.17.2.0 0.0.0.255

huadong(config)#access-list 150 deny 172.17.1.0 0.0.0.255 172.17.3.0 0.0.0.255

huadong(config)#access-list 150 permit ip 172.17.1.0 0.0.0.255 any

以上命令的作用是指定對外訪問的規(guī)則內(nèi)容 。例如,禁止利用NAT對其他內(nèi)部網(wǎng)絡(luò)直接訪問(當(dāng)然,專用地址本來也不能在Internet上使用),和答應(yīng)內(nèi)部計(jì)算機(jī)利用NAT技術(shù)訪問Internet(與IPSec無關(guān)) 。

huadong(config)#ip nat inside source route-map abc interface serial0/0 overload

上述命令的作用是聲明使用串口的注冊IP地址,在數(shù)據(jù)包遵守對外訪問的規(guī)則的情況下,使用PAT技術(shù) 。

以下是測試命令,通過該命令,可以判定配置是否有根本的錯(cuò)誤 。例如,在命令的輸出中,說明了內(nèi)部接口和外部接口 。并注重檢查輸出與實(shí)際要求是否相符 。

huadong#show ip nat stat

Total active translations: 0 (0 static, 0 dynamic; 0 extended)

Outside interfaces:

Serial0/0

Inside interfaces:

Ethernet0/0

……

在IP地址為172.17.1.100的計(jì)算機(jī)上,執(zhí)行必要的測試工作,以驗(yàn)證內(nèi)部計(jì)算機(jī)可以通過PAT訪問Internet 。

c:>ping 210.75.32.10

……

Reply from 210.75.32.10: bytes=32 time=1ms TTL=255

……

c:>ping http://www.ninemax.com

……

Reply from 211.100.15.36: bytes=32 time=769ms TTL=248

……

此時(shí),在路由器上,可以通過命令觀察PAT的實(shí)際運(yùn)行情況,再次驗(yàn)證PAT配置正確 。

huadong#show ip nat tran

Pro Inside global Inside local Outside local Outside global

icmp 210.75.32.9:1975 172.17.1.100:1975 210.75.32.10:1975 210.75.12.10:1975

……

以上測試過程說明,NAT配置正確 。內(nèi)部計(jì)算機(jī)可以通過安全的途徑訪問Internet 。當(dāng)然,假如業(yè)務(wù)要求,不答應(yīng)所有的內(nèi)部員工/計(jì)算機(jī),或只答應(yīng)部分內(nèi)部計(jì)算機(jī)訪問Internet,那么,只需要適當(dāng)修改上述配置命令,即可實(shí)現(xiàn) 。

3. 配置ESP-DES IPSec并測試

以下配置是配置VPN的要害 。首先,VPN隧道只能限于內(nèi)部地址使用 。假如有更多的內(nèi)部網(wǎng)絡(luò),可在此添加相應(yīng)的命令 。

huadong(config)#access-list 105 permit ip 172.17.1.0 0.0.0.255 172.16.0.0 0.0.255.255

huadong(config)#access-list 106 permit ip 172.17.1.0 0.0.0.255 172.17.2.0 0.0.0.255

huadong(config)#access-list 107 permit ip 172.17.1.0 0.0.0.255 172.17.3.0 0.0.0.255

指定VPN在建立連接時(shí)協(xié)商IKE使用的策略 。方案中使用sha加密算法,也可以使用md5算法 。

推薦閱讀