路由器配置点到多点IPSec VPN故障排查

大鹏一日同风起,扶摇直上九万里。这篇文章主要讲述路由器配置点到多点IPSec VPN故障排查相关的知识,希望能为你提供帮助。
拓扑图:


推荐步骤:

  • 路由器接口配置IP地址
  • R4配置静态路由到R1、R2、R3的Lo0接口,在R1、R2、R3、R4配置默认路由全网互通
  • 在R1、R2、R3路由器配置NAT访问R4的Lo0接口
  • 在R1北京路由、R2上海路由上配置IPSec VPN和R3深圳通信,当R1和R2的Lo0接口和R3的Lo0接口通信流量通过IPSec VPN转发,当R1、R2、R3路由器上的Lo0和R4路由器的Lo0通信通过NAT转发数据
实验步骤:
一、路由器接口配置IP地址1、路由器R1配置IP地址
1)给路由R1接口配置IP地址
R1(config)#interface fastEthernet 0/0
R1(config-if)#ip address 192.168.14.2 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface loopback 0
R1(config-if)#ip address 192.168.10.1 255.255.255.0
R1(config-if)#end
2)查看R1路由器接口配置的IP地址


2、路由器R2配置IP地址
1)给路由器R2接口配置IP地址
R2(config)#interface fastEthernet 0/0
R2(config-if)#ip address 192.168.24.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#interface loopback 0
R2(config-if)#ip address 192.168.20.1 255.255.255.0
R2(config-if)#end
2)查看R2路由器接口配置的IP地址


3、路由器R3配置IP地址
1)给路由器R3接口配置IP地址
R3(config)#interface fastEthernet 0/0
R3(config-if)#ip address 192.168.34.2 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#interface loopback 0
R3(config-if)#ip address 192.168.30.1 255.255.255.0
R3(config-if)#end
2)查看R3路由接口配置的IP地址


4、路由器R4配置IP地址
1)给路由器R4接口配置IP地址
R4(config)#interface fastEthernet 0/0
R4(config-if)#ip address 192.168.14.1 255.255.255.0
R4(config-if)#no shutdown
R4(config-if)#exit
R4(config)#interface fastEthernet 1/0                   
R4(config-if)#ip address 192.168.24.1 255.255.255.0
R4(config-if)#no shutdown
R4(config-if)#exit
R4(config)#interface fastEthernet 2/0                   
R4(config-if)#ip address 192.168.34.1 255.255.255.0
R4(config-if)#no shutdown
R4(config-if)#exit
R4(config)#interface loopback 0
R4(config-if)#ip address 192.168.40.1 255.255.255.0
R4(config-if)#end
2)查看R4路由器接口配置的IP地址


二、R4配置静态路由到R1、R2、R3的Lo0接口,在R1、R2、R3、R4配置默认路由全网互通1、在R4配置静态路由访问R1、R2、R3的Lo0接口
1)在R4配置静态路由
R4(config)#ip route 192.168.10.0 255.255.255.0 192.168.14.2
R4(config)#ip route 192.168.20.0 255.255.255.0 192.168.24.2
R4(config)#ip route 192.168.30.0 255.255.255.0 192.168.34.2
2)查看路由表


2、在R1路由器配置静态路由路由全网互通
1)在R1路由器配置默认路由
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.14.1
2)查看R1配置的默认路由


3、在R2路由器配置静态路由路由全网互通
1)在R2路由器配置默认路由
R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.24.1
2)查看R2配置的默认路由


4、在R3路由器配置静态路由路由全网互通
1)在R3路由器配置默认路由
R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.34.1
2)查看R3配置的默认路由


3)验证全网互通


三、在R1、R2、R3路由器配置NAT访问R4的Lo0接口1、在R1配置NAT访问R4的Lo0进行地址转换
1)开启接口NAT功能
R1(config)#interface fastEthernet 0/0
R1(config-if)#ip nat outside
R1(config-if)#exit
R1(config)#interface loopback 0
R1(config-if)#ip nat outside
R1(config-if)#exit
2)创建访问控制列表识别NAT的流量
R1(config)#access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
R1(config)#access-list 100 permit ip 192.168.10.0 0.0.0.255 any
3)将访问控制列表识别流量映射到接口
R1(config)#ip nat inside source list 100 interface fastEthernet 0/0 overload
R1(config)#end
4)在R1开启NAT跟踪ping访问R4的Lo0接口查看转换


2、在R2配置NAT访问R4的Lo0进行地址转换
1)开启接口NAT功能
R2(config)#interface fastEthernet 0/0
R2(config-if)#ip nat outside
R2(config-if)#exit
R2(config)#interface loopback 0
R2(config-if)#ip nat outside
R2(config-if)#exit
2)创建访问控制列表识别NAT的流量
R2(config)#access-list 100 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
R2(config)#access-list 100 permit ip 192.168.20.0 0.0.0.255 any
3)将访问控制列表识别流量映射到接口
R2(config)#ip nat inside source list 100 interface fastEthernet 0/0 overload
R2(config)#end
4)在R2开启NAT跟踪ping访问R4的Lo0接口查看转换


3、在R3配置NAT访问R4的Lo0进行地址转换
1)开启接口NAT功能
R3(config)#interface fastEthernet 0/0
R3(config-if)#ip nat outside
R3(config-if)#exit
R3(config)#interface loopback 0
R3(config-if)#ip nat outside
R3(config-if)#exit
2)创建访问控制列表识别NAT的流量
R3(config)#access-list 100 deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
R3(config)#access-list 100 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
R3(config)#access-list 100 permit ip 192.168.30.0 0.0.0.255 any
3)将访问控制列表识别流量映射到接口
R3(config)#ip nat inside source list 100 interface fastEthernet 0/0 overload
R3(config)#end
4)在R3开启路由跟踪ping访问R4的Lo0接口查看转换


四、在R1北京路由、R2上海路由上配置IPSec VPN和R3深圳通信,当R1和R2的Lo0接口和R3的Lo0接口通信流量通过IPSec VPN转发,当R1、R2、R3路由器上的Lo0和R4路由器的Lo0通信通过NAT转发数据1、R1配置IPSec VPN
1)配置对等体协商安全策略
R1(config)#crypto isakmp policy 1                                    //安全策略编号为1
R1(config-isakmp)#encryption aes                                    //加密算法aes
R1(config-isakmp)#authentication pre-share    //使用与共享密钥
R1(config-isakmp)#hash sha                                                    //验证使用sha
R1(config-isakmp)#group 5                                                        //设备验证使用
R1(config-isakmp)#lifetime 86400                                      //保持时间24小时
R1(config-isakmp)#exit
2)配置域共享密钥为pwd@123,允许192.168.200.2建立IPSec VPN
R1(config)#crypto isakmp key pwd@123 address 192.168.34.2
3)创建访问配置列表识别VPN的流量
R1(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
3) 配置传输集名字bj-set,指定加密使用aes验证使用sha
R1(config)# crypto ipsec transform-set bj-set ah-sha-hmac esp-aes
R1(cfg-crypto-trans)#exit
4) 配置crypty map调用协商策略、访问控制列表、传输集、对等体
R1(config)#crypto map bj-vpn 1 ipsec-isakmp
R1(config-crypto-map)#match address 101
R1(config-crypto-map)#set transform-set bj-set
R1(config-crypto-map)#set peer 192.168.34.2
5) 应用组策略到接口
R1(config)#interface fastEthernet 0/0
R1(config-if)#crypto map bj-vpn
R1(config-if)#
*Mar  1 00:21:32.727: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R1(config-if)#end
10)查看IPSec VPN连接状态




11)R1的Lo0访问R4的Lo0进行NAT转换


2、R2配置IPSec VPN
1)配置对等体协商安全策略
R2(config)#crypto isakmp policy 1                                    //安全策略编号为1
R2(config-isakmp)#encryption aes                                    //加密算法aes
R2(config-isakmp)#authentication pre-share    //使用与共享密钥
R2(config-isakmp)#hash sha                                                    //验证使用sha
R2(config-isakmp)#group 5                                                        //设备验证使用
R2(config-isakmp)#lifetime 86400                                    //保持时间24小时
R2(config-isakmp)#exit
2)配置域共享密钥为pwd@123,允许192.168.200.2建立IPSec VPN
R2(config)#crypto isakmp key pwd@123 address 192.168.34.2
3)创建访问配置列表识别VPN的流量
R2(config)# access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
4)配置传输集名字sh-set,指定加密使用aes验证使用sha
R2(config)# crypto ipsec transform-set sh-set ah-sha-hmac esp-aes
R2(cfg-crypto-trans)#exit
5) 配置crypty map调用协商策略、访问控制列表、传输集、对等体
R2(config)#crypto map sh-vpn 1 ipsec-isakmp
R2(config-crypto-map)#match address 101
R2(config-crypto-map)#set transform-set sh-set
R2(config-crypto-map)#set peer 192.168.34.2
6) 应用组策略到接口
R2(config)#interface fastEthernet 0/0
R2(config-if)#crypto map sh-vpn
R2(config-if)#
*Mar  1 00:21:32.727: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R1(config-if)#end
7)查看IPSec VPN连接状态




8)R2的Lo0访问R4的Lo0进行NAT转换


3、R3配置IPSec VPN
1)配置对等体协商安全策略
R3(config)#crypto isakmp policy 1                                    //安全策略编号为1
R3(config-isakmp)#encryption aes                                    //加密算法aes
R3(config-isakmp)#authentication pre-share    //使用与共享密钥
R3(config-isakmp)#hash sha                                                    //验证使用sha
R3(config-isakmp)#group 5                                                        //设备验证使用
R3(config-isakmp)#lifetime 86400                                      //保持时间24小时
R3(config-isakmp)#exit
2)配置对等体协商安全策略
R3(config)#crypto isakmp policy 2                                    //安全策略编号为1
R3(config-isakmp)#encryption aes                                    //加密算法aes
R3(config-isakmp)#authentication pre-share    //使用与共享密钥
【路由器配置点到多点IPSec VPN故障排查】R3(config-isakmp)#hash sha                                                    //验证使用sha
R3(config-isakmp)#group 5                                                        //设备验证使用
R3(config-isakmp)#lifetime 86400                                      //保持时间24小时
R3(config-isakmp)#exit
3)配置域共享密钥为pwd@123,允许192.168.200.2建立IPSec VPN
R3(config)#crypto isakmp key pwd@123 address 192.168.14.2
R3(config)#crypto isakmp key pwd@123 address 192.168.24.2
4)创建访问配置列表识别VPN的流量
R3(config)# access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
R3(config)# access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
5)配置传输集名字bj-set,指定加密使用aes验证使用sha
R3(config)# crypto ipsec transform-set sz-set ah-sha-hmac esp-aes
R3(cfg-crypto-trans)#exit
6)配置crypty map调用协商策略、访问控制列表、传输集、对等体
R3(config)#crypto map sz-vpn 1 ipsec-isakmp
R3(config-crypto-map)#match address 101
R3(config-crypto-map)#set transform-set bj-set
R3(config-crypto-map)#set peer 192.168.12.2
R3(config-crypto-map)#set peer 192.168.24.2
7) 应用组策略到接口
R3(config)#interface fastEthernet 0/0
R3(config-if)#crypto map sz-vpn
R3(config-if)#
*Mar  1 00:21:32.727: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R3(config-if)#end
8) 查看IPSec VPN连接状态




9)R3的Lo0访问R4的Lo0进行NAT转换



    推荐阅读