实验案例一:多点IPSec VPN 配置(流量转发) 一、实验环境 某外企铺设海底电缆到中国区总部——香港,但该外企在北京和上海新进成立了分设机构,公司考虑到总部与分设机构经常传输关键业务数据,希望在各个公司的网关间通信时采用站点间 VPN 的方式,如图 7-1 所示。 图 7-1 1.本实验需要四台路由器来实验,中间的路由器用来模拟ISP 提供商的网络设备(Internet)。 2.R1、R2、R3 网关的外网接口地址分别为 200.0.10.1/30、200.0.20.1/30、200.0.30.1/30。 3.内网的网段通过三个Loopback接口来模拟,地址分别为1.1.1.1/24、2.2.2.2/24、3.3.3.3/24。 二、需求描述 1.香港、北京、上海三家公司之间所有的流量必须通过 IPSec VPN 实现加密传输。 2.阶段 1 的加密算法使用 3DES,认证算法使用 SHA、DH 组选用组 2;阶段 2 的数据加密认证过程均使用 ESP 协议实现。 3.要求北京和上海的分公司之间不能直接通信(即北京公司的内网若要实现访问上海的公司内网,流量必须经过香港的网关路由器转发)。 4.三家公司各自访问 Internet 的流量通过 NAT 技术实现。 三、具体步骤 (一)基础配置。 1.R1、R2、R3 网关路由器基础配置。 R1#config ter R1(config)#inter f0/0 R1(config-if)#ip add 200.0.10.1 255.255.255.252 R1(config-if)#no shut R1(config-if)#inter loopback0 R1(config-if)#ip add 1.1.1.1 255.255.255.0 R1(config-if)#no shut R1(config-if)#exit R2#config ter R2(config)#inter f0/0 R2(config-if)#ip add 200.0.20.1 255.255.255.252 R2(config-if)#no shut R2(config-if)#loopback0 R2(config-if)#ip add 2.2.2.2 255.255.255.0 R2(config-if)#no shut R2(config-if)#exit R3#config ter R3(config)#inter f0/0 R3(config-if)#ip add 200.0.30.1 255.255.255.252 R3(config-if)#no shut R3(config-if)#inter loopback0 R3(config-if)#ip add 3.3.3.3 255.255.255.0 R3(config-if)#no shut R3(config-if)#exit 2.ISP 路由器配置。 ISP#config ter ISP(config)#inter f0/0 ISP(config-if)#ip add 200.0.20.2 255.255.255.252 ISP(config-if)#no shut ISP(config-if)#inter f1/0 ISP(config-if)#ip add 200.0.30.2 255.255.255.252 ISP(config-if)#no shut ISP(config-if)#inter f1/1 ISP(config-if)#ip ...
