تكوين نفق IPSec بين الموجهات التي تحتوي على شبكات LAN فرعية مكررة

المقدمة

يزود هذا وثيقة مثال شبكة أن يحاكي إثنان شركة دمج مع ال نفسه ip عنونة مخطط. يتم توصيل موجهين باستخدام نفق VPN، والشبكات الموجودة خلف كل موجه هي نفسها. واحد موقع أن ينفذ مضيف في الآخر موقع، شبكة عنوان ترجمة (NAT) استعملت على المسحاج تخديد أن يغير على حد سواء المصدر والوجهة عنوان إلى شبكة فرعية مختلف.

ملاحظة: لا يوصى بهذا التكوين كإعداد دائم لأنه قد يكون مربكا من وجهة نظر إدارة الشبكة.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• الموجه A: cisco 3640 مسحاج تخديد يركض cisco ios ® برمجية إطلاق 12.3(4)T

• الموجه B: cisco 2621 مسحاج تخديد يركض cisco ios ® برمجية إطلاق 12.3(5)

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

للحصول على مزيد من المعلومات حول اصطلاحات المستندات، ارجع إلى اصطلاحات تلميحات Cisco التقنية.

معلومات أساسية

في هذا المثال، عند وصول المضيف 172.16.1.2 في الموقع (أ) إلى المضيف نفسه الذي يتم توجيه IP إليه في الموقع (ب)، فإنه يتصل بعنوان 172.19.1.2 بدلا من العنوان الفعلي 172.16.1.2. عندما يصل المضيف في الموقع (ب) إلى الموقع (أ)، فإنه يتصل بعنوان 172.18.1.2. nat على مسحاج تخديد يترجم أي 172.16.x.x عنوان أن يبدو مثل ال يماثل 172.18.x.x مضيف مدخل. يتغير NAT على الموجه B 172.16.x.x ليبدو مثل 172.19.x.x.

تقوم وظيفة التشفير على كل موجه بتشفير حركة مرور البيانات المترجمة عبر الواجهات التسلسلية. لاحظت أن nat يقع قبل تشفير على مسحاج تخديد.

ملاحظة: يسمح هذا التكوين للشبكتين بالاتصال فقط. لا يسمح باتصال الإنترنت. تحتاج إلى مسارات إضافية إلى الإنترنت للاتصال بمواقع أخرى غير الموقعين؛ وبعبارة أخرى، تحتاج إلى إضافة موجه آخر أو جدار حماية آخر على كل جانب، مع تهيئة مسارات متعددة على الأجهزة المضيفة.

التكوين

في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند.

ملاحظة: للعثور على معلومات إضافية حول الأوامر المستخدمة في هذا المستند، أستخدم أداة بحث الأوامر (للعملاء المسجلين فقط).

الرسم التخطيطي للشبكة

يستخدم هذا المستند إعداد الشبكة التالي:

التكوينات

يستخدم هذا المستند التكوينات التالية:

• الموجه A

• الموجه B

Current configuration : 1404 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SV3-2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
!
!
!
!
ip audit notify log
ip audit po max-events 100
ip ssh break-string 
no ftp-server write-enable
!
!

!--- These are the Internet Key Exchange (IKE) parameters.

crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
crypto isakmp key cisco123 address 10.5.76.57
!

!--- These are the IPSec parameters.

crypto ipsec transform-set myset1 esp-3des esp-md5-hmac
!
!
crypto map mymap 10 ipsec-isakmp
 set peer 10.5.76.57
 set transform-set myset1
 
!--- Encrypt traffic to the other side.

 match address 100
!
!
!
interface Serial0/0
 description Interface to Internet
 ip address 10.5.76.58 255.255.0.0
 ip nat outside
 clockrate 128000
 crypto map mymap
!
interface Ethernet0/0
 ip address 172.16.1.1 255.255.255.0
 no ip directed-broadcast
 ip nat inside
 half-duplex
!
!

!--- This is the NAT traffic.

ip nat inside source static network 172.16.0.0 172.18.0.0 /16 no-alias
ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0
!

!--- Encrypt traffic to the other side.

access-list 100 permit ip 172.18.0.0 0.0.255.255 172.19.0.0 0.0.255.255
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
!
!
end

Current configuration : 1255 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SV3-15
!
boot-start-marker
boot-end-marker
!
!
memory-size iomem 15
no aaa new-model
ip subnet-zero
!
!
!
ip audit notify log
ip audit po max-events 100
!

!--- These are the IKE parameters.

crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
crypto isakmp key cisco123 address 10.5.76.58
!

!--- These are the IPSec parameters.

crypto ipsec transform-set myset1 esp-3des esp-md5-hmac
!
crypto map mymap 10 ipsec-isakmp
 set peer 10.5.76.58
 set transform-set myset1

 !--- Encrypt traffic to the other side.

 match address 100
!
!
interface FastEthernet0/0
 ip address 172.16.1.1 255.255.255.0
 ip nat inside
 duplex auto
 speed auto
!
interface Serial0/0
 description Interface to Internet
 ip address 10.5.76.57 255.255.0.0
 ip nat outside
 crypto map mymap
!

!--- This is the NAT traffic.

ip nat inside source static network 172.16.0.0 172.19.0.0 /16 no-alias
ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0
!

!--- Encrypt traffic to the other side.

access-list 100 permit ip 172.19.0.0 0.0.255.255 172.18.0.0 0.0.255.255
!
!
line con 0
line aux 0
line vty 0 4
!
!
!
end

التحقق من الصحة

يوفر هذا القسم معلومات يمكنك إستخدامها للتأكد من أن التكوين يعمل بشكل صحيح.

يتم دعم بعض أوامر العرض بواسطة أداة مترجم الإخراج (العملاء المسجلون فقط)، والتي تتيح لك عرض تحليل إخراج أمر العرض.

• show crypto ips sa—يعرض اقترانات أمان المرحلة 2.

• show crypto isakmp sa—يعرض اقترانات أمان المرحلة 1.

• show ip nat ترجمة — يبدي الحالي nat ترجمة قيد الاستخدام.

استكشاف الأخطاء وإصلاحها

يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.

أوامر استكشاف الأخطاء وإصلاحها

يتم دعم بعض أوامر العرض بواسطة أداة مترجم الإخراج (العملاء المسجلون فقط)، والتي تتيح لك عرض تحليل إخراج أمر العرض.

ملاحظة: قبل إصدار أوامر تصحيح الأخطاء، راجع المعلومات المهمة في أوامر تصحيح الأخطاء.

• debug crypto ipSec—يعرض مفاوضات IPSec للمرحلة 2.

• debug crypto isakmp—يعرض مفاوضات بروتوكول إدارة المفاتيح وارتباط أمان الإنترنت (ISAKMP) للمرحلة الأولى.

• debug crypto engine—يعرض حركة مرور البيانات التي يتم تشفيرها.

معلومات ذات صلة

• صفحة دعم IPSec
• تكوين أمان شبكة IPSec
• تكوين بروتوكول أمان Internet Key Exchange
• الدعم الفني - Cisco Systems