做的一個關于×××的綜合實驗!其基本構想是這樣的,最真實的模拟了ISP的DNS伺服器, Web伺服器(簡單的講這個直接挂在Internet網的Web伺服器,就是我們常說的伺服器在電信啊,網通啊等ISP托管的,日常維護這些伺服器都是遠端登入上去的!)。用了一個AP來模拟移動無線網(你可以想象成我們常用的無線上網,如:GPRS,無線城域網,3G等。簡單點講就是通過各種無線技術能上Internet網)。至于Internet網的模拟嘛,還是我常說的沒有私有IP路由表的路由器。先讓大家看看我的實驗拓撲:
實驗的基本想法,配置思路和測試方法如下:(在附件中有本實驗的PKT檔案下載下傳,大家可以按本文實驗。至于IPSEC ×××講解和遠端的Easy ×××我就不講解了!大家見我的部落格《PacketTracer 5.2的IPsec ×××實驗說明(附PacketTracer 5.2下載下傳位址)》和《Cisco PacketTracer 5.2模拟器的Easy ×××實驗指南》)。
實驗的IP規劃如下:
PC0 PC1 :DHCP擷取
筆記本:laptop0和wuxian:DHCP擷取
内部伺服器:Web 192.168.1.253/24 TFTP 192.168.1.252/24
ISP伺服器:ISP DNS 202.103.96.112/24 ISP Web 202.103.96.120/24
總部 fa0/0:192.168.1.254/24 fa0/1:100.1.1.2/24
Internet網:fa0/1 :100.1.1.1/24 fa 0/0:200.1.1.1/24
E1/0:210.1.1.1/24(移動筆記本wuxian所獲得公網位址段)
E1/1:202.103.96.1/24(ISP DNS和ISP Web伺服器的網關)
分部:f0/0:200.1.1.2/24 fa 0/1:192.168.2.254/24
關于PacketTracer5.2中的伺服器DNS和Web的配置以及PC和筆記本的配置和測試。如圖說明:
輕按兩下伺服器的圖示,選擇Desktop,在選擇IP configuration設定IP位址:
DNS的配置:(我為ISP的Web伺服器和總部的Web伺服器做的DNS映射)
選擇如圖一的config,在選擇DNS,name是域名,address是IP位址,做好就add添加。
Web伺服器的配置,就點HTTP,自己可以修改Html。這我就不講了,記得服務On。
本次試驗用到了,IP configuration、Web Brower,×××,command Prompt。
IP configuration是IP的配置:可以DHCP也可靜态。
Web Brower是浏覽器。×××是Easy ×××用戶端。
command Prompt就是CMD,用Ping的測試等。
實驗基本連通性:
Internet網配置:
enable
configure terminal
hostname Internet
line console 0
logg sy
exec-time 0 0
exit
no ip domain-lookup
interface fastethernet 0/1
ip add 100.1.1.1 255.255.255.0
no shut
interface fastethernet 0/0
ip add 200.1.1.1 255.255.255.0
interface ethernet 1/1
ip add 202.103.96.1 255.255.255.0
interface ethernet 1/0
ip add 210.1.1.1 255.255.255.0
ip dhcp excluded-address 210.1.1.1
ip dhcp pool wifi
network 210.1.1.0 255.255.255.0
default-router 210.1.1.1
dns-server 202.103.96.112
exit
總部配置:
ip add 100.1.1.2 255.255.255.0
ip nat outside
ip add 192.168.1.254 255.255.255.0
ip nat inside
ip route 0.0.0.0 0.0.0.0 100.1.1.1
ip dhcp excluded-address 192.168.1.254
ip dhcp pool zongbu
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
ip nat inside source list 100 interface FastEthernet0/1 overload
ip nat inside source static tcp 192.168.1.253 80 100.1.1.2 80
分部配置:
hostname fenbu
ip add 200.1.1.2 255.255.255.0
ip add 192.168.2.254 255.255.255.0
ip route 0.0.0.0 0.0.0.0 200.1.1.1
ip dhcp excluded-address 192.168.2.254
network 192.168.2.0 255.255.255.0
default-router 192.168.2.254
access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 permit ip 192.168.2.0 0.0.0.255 any
ip nat inside source list 100 interface FastEthernet0/0 overload
當基本連通性結果後,在浏覽器中通路:www.xiaoT.com和www.tom.com結果如下圖:
但由于×××沒有做,外網和分部的PC是Ping不通内部的PC和伺服器的。
現在進行×××配置:
總部:
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
crypto isakmp key tom address 200.1.1.2
crypto ipsec transform-set tim esp-3des esp-md5-hmac
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
crypto map tom 11 ipsec-isakmp
set peer 200.1.1.2
set transform-set tim
match address 101
interface FastEthernet0/1
crypto map tom
aaa new-model
aaa authentication login eza local
aaa authorization network ezo local
username tang password 123
ip local pool ez 192.168.3.1 192.168.3.100
crypto isakmp client configuration group myez
key 123
pool ez
crypto dynamic-map ezmap 10
set transform-set tim
reverse-route
crypto map tom client authentication list eza
crypto map tom isakmp authorization list ezo
crypto map tom client configuration address respond
crypto map tom 10 ipsec-isakmp dynamic ezmap
(Easy ×××是IPSEC ×××的兩個階段之間的2.5階段,固階段一喝階段二都可以條用一樣的政策)
分部的配置:
crypto isakmp key tom address 100.1.1.2
crypto map tom 10 ipsec-isakmp
set peer 100.1.1.2
access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
interface FastEthernet0/0
測試:
Ipsec ×××就是分部的ping總部的PC,來檢測連通性,Easy ×××的連接配接測試在《Cisco PacketTracer 5.2模拟器的Easy ×××實驗指南》中有說明。
當×××都連通後,就能ping通内部的TFTP伺服器了!
最後給大家留個問題,本實驗中,我已經解決了,Ipsec ×××的×××和NAT上網問題。但我無線筆記Easy ×××接入總部後,隻能通路用IP來通路内部Web伺服器,而通路不了Internet的Web伺服器。這是為什麼,應該如何解決。