測試并配置NAT網絡 實現內外網訪問設置
測試并配置NAT網絡 實現內外網訪問設置,配置NAT網絡過嗎?忘記配制方法了嗎?你的配置NAT網絡是不是經常讓你上網時掉線,看看下面的文章,一切問題都能解決。
(1)配置NAT網絡外出路由并測試
主要是配置缺省路由。
huadong(config)#ip route 0.0.0.0 0.0.0.0 210.75.32.9
huadong#ping 211.100.15.36
……
!!!!!
……
結果證明本路由器可以通過ISP訪問Internet。
(2) 配置PAT,使內部網絡計算機可以訪問外部網絡,但不能訪問總部和分支機構
主要是基于安全目的,不希望內部網絡被外部網絡所了解,而使用地址轉換(配置NAT網絡)技術。同時,為了節約費用,只租用一個IP地址(路由器使用)。所以,需要使用PAT技術。使用配置NAT網絡技術的關鍵是指定內外端口和訪問控制列表。
在訪問控制列表中,需要將對其他內部網絡的訪問請求包廢棄,保證對其他內部網絡的訪問是通過IPSec來實現的。
huadong(config)#inter eth0/0
huadong(config-if)#ip nat inside
huadong(config-if)#inter serial0/0
huadong(config-if)#ip nat outside
huadong(config-if)#exit
以上命令的作用是指定內外端口。
huadong(config)#route-map abc permit 10
huadong(config-route-map)#match ip address 150
huadong(config-route-map)#exit
以上配置NAT網絡命令的作用是指定對外訪問的規則名。
huadong(config)#access-list 150 deny 172.17.1.0 0.0.0.255 172.16.0.0 0.0.255.255
huadong(config)#access-list 150 deny 172.17.1.0 0.0.0.255 172.17.2.0 0.0.0.255
huadong(config)#access-list 150 deny 172.17.1.0 0.0.0.255 172.17.3.0 0.0.0.255
huadong(config)#access-list 150 permit ip 172.17.1.0 0.0.0.255 any
以上命令的作用是指定對外訪問的規則內容。例如,禁止利用配置NAT網絡對其他內部網絡直接訪問(當然,專用地址本來也不能在Internet上使用),和允許內部計算機利用配置NAT網絡技術訪問Internet(與IPSec無關)。
huadong(config)#ip nat inside source route-map abc interface serial0/0 overload
上述命令的作用是聲明使用串口的注冊IP地址,在數據包遵守對外訪問的規則的情況下,使用PAT技術。以下是測試命令,通過該命令,可以判斷配置是否有根本的錯誤。例如,在命令的輸出中,說明了內部接口和外部接口。并注意檢查輸出與實際要求是否相符。
huadong#show ip nat stat
Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Outside interfaces:
Serial0/0
Inside interfaces:
Ethernet0/0
……
在IP地址為172.17.1.100的計算機上,執行必要的測試工作,以驗證內部計算機可以通過PAT訪問Internet。
c:>ping 210.75.32.10
……
Reply from 210.75.32.10: bytes=32 time=1ms TTL=255
……
c:>ping
http://www.ninemax.com
……
Reply from 211.100.15.36: bytes=32 time=769ms TTL=248
……
此時,在路由器上,可以通過命令觀察PAT的實際運行情況,再次驗證PAT配置正確。
huadong#show ip nat tran
Pro Inside global Inside local Outside local Outside global
icmp 210.75.32.9:1975 172.17.1.100:1975 210.75.32.10:1975 210.75.12.10:1975
……
以上測試過程說明,配置NAT網絡配置正確。內部計算機可以通過安全的途徑訪問Internet。當然,如果業務要求,不允許所有的內部員工/計算機,或只允許部分內部計算機訪問Internet,那么,只需要適當修改上述配置命令,即可實現。
(3) 配置ESP-DES IPSec并測試
以下配置是配置VPN的關鍵。首先,VPN隧道只能限于內部地址使用。如果有更多的內部網絡,可在此添加相應的命令。
huadong(config)#access-list 105 permit ip 172.17.1.0 0.0.0.255 172.16.0.0 0.0.255.255
huadong(config)#access-list 106 permit ip 172.17.1.0 0.0.0.255 172.17.2.0 0.0.0.255
huadong(config)#access-list 107 permit ip 172.17.1.0 0.0.0.255 172.17.3.0 0.0.0.255
指定VPN在建立連接時協商IKE使用的策略。方案中使用sha加密算法,也可以使用md5算法。在IKE協商過程中使用預定義的碼字。
huadong(config)#crypto isakmp policy 10
huadong(config-isakmp)#hash sha
huadong(config-isakmp)#authentication pre-share
huadong(config-isakmp)#exit
針對每個VPN路由器,指定預定義的碼字。可以一樣,也可以不一樣。但為了簡明起見,建議使用一致的碼字。
huadong(config)#crypto isakmp key abc2001 address 211.157.243.130
huadong(config)#crypto isakmp key abc2001 address 202.96.209.165
huadong(config)#crypto isakmp key abc2001 address 192.18.97.241
為每個VPN(到不同的路由器,建立不同的隧道)制定具體的策略,并對屬于本策略的數據包實施保護。本方案包括3個VPN隧道。需要制定3個相應的入口策略(下面只給出1個)。
huadong(config)#crypto map abc 20 ipsec-isakmp
huadong(config-crypto-map)#set peer 211.157.243.130
huadong(config-crypto-map)#set transform-set abc-des
huadong(config-crypto-map)#match address 105
huadong(config-crypto-map)#exit
使用路由器的外部接口作為所有VPN入口策略的發起方。與對方的路由器建立IPSec。
huadong(config)#crypto map abc local-address serial0
IPSec使用ESP-DES算法(56位加密),并帶SHA驗證算法。
huadong(config)#crypto ipsec transform-set abc-des esp-des esp-sha-hmac
指明串口使用上述已經定義的策略。
huadong(config)#inter serial0/0
huadong(config-if)#crypto map abc
在IP地址為172.17.1.100的計算機上驗證:
c:>ping 172.16.1.100
……
Reply from 172.16.1.100: bytes=32 time=17ms TTL=255
……
huadong#show crypto engine conn acti
ID Interface IP-Address State Algorithm Encrypt Decrypt
1 set HMAC_SHA+DES_56_CB 0 0
2000 Serial0/0 210.75.32.9 set HMAC_SHA+DES_56_CB 0 452
2001 Serial0/0 210.75.32.9 set HMAC_SHA+DES_56_CB 694 0
同時,這種連接使用了IPSec,而沒有使用配置NAT網絡技術。
配置NAT網絡測試
將所有路由器按照上述過程,根據具體的環境參數,做必要修改后,完成VPN的配置。網絡部分任務完成,可以順利開展業務應用了。如果需要,路由器本身提供更詳細的調試命令:
debug crypto engine connections active
debug crypto
isakmp sa
debug crypto ipsec sa
在調試時,需要注意,在對應路由器上也執行相應的調試命令。然后,在一臺客戶機(172.17.1.100)上執行如下命令:
c:>ping 172.16.1.100 -n 1
配置NAT網絡最后,對比2個路由器的輸出,觀察出現問題的提示——這是隧道不能建立的主要原因。針對此提示,做必要的修改工作,便可圓滿完成VPN的配置計劃。在實際中,該方案完全滿足用戶需求,并充分驗證了VPN技術的可用性和實用性。至今運行正常,用戶非常滿意。
