PacketTracer 5.2的IPsec VPN
先简单介绍下本文的模拟真实环境想法!本文是用Cisco PacketTracer5.2模拟器(软件下载见我博客的《PacketTrace 5.2的IPsec VPN实验说明(附PacketTracer 5.2下载地址)》)做的一个关于VPN的综合实验!其基本构想是这样的,最真实的模拟了ISP的DNS服务器, Web服务器(简单的讲这个直接挂在Internet网的Web服务器,就是我们常说的服务器在电信啊,网通啊等ISP托管的,日常维护这些服务器都是远程登入上去的!)。用了一个AP来模拟移动无线网(你可以想象成我们常用的无线上网,如:GPRS,无线城域网,3G等。简单点讲就是通过各种无线技术能上Internet网)。至于Internet网的模拟嘛,还是我常说的没有私有IP路由表的路由器。先让大家看看我的实验拓扑:
实验的基本想法,配置思路和测试方法如下:(在附件中有本实验的PKT文件下载,大家可以按本文实验。至于IPSEC VPN讲解和远程的Easy VPN我就不讲解了!大家见我的博客《PacketTracer 5.2的IPsec VPN实验说明(附PacketTracer 5.2下载地址)》和《Cisco PacketTracer 5.2模拟器的Easy VPN实验指南》)。 实验的IP规划如下: PC0 PC1 :DHCP获取
笔记本:laptop0和wuxian:DHCP获取 内部服务器:Web 192.168.1.253/24 TFTP 192.168.1.252/24
ISP服务器:ISP DNS 202.103.96.112/24 ISP Web 202.103.96.120/24
总部 fa0/0:192.168.1.254/24 fa0/1:100.1.1.2/24
Internet网:fa0/1 :100.1.1.1/24 fa 0/0:200.1.1.1/24
E1/0:210.1.1.1/24(移动笔记本wuxian所获得公网地址段)
E1/1:202.103.96.1/24(ISP DNS和ISP Web服务器的网关) 分部:f0/0:200.1.1.2/24 fa 0/1:192.168.2.254/24
关于PacketTracer5.2中的服务器DNS和Web的配置以及PC和笔记本的配置和测试。如图说明:
双击服务器的图标,选择Desktop,在选择IP configuration设置IP地址: 图一 图二
DNS的配置:(我为ISP的Web服务器和总部的Web服务器做的DNS映射)
选择如图一的config,在选择DNS,name是域名,address是IP地址,做好就add添加。 图三
Web服务器的配置,就点HTTP,自己可以修改Html。这我就不讲了,记得服务On。 PC和笔记的配置结构一样如图:
本次试验用到了,IP configuration、Web Brower,VPN,command Prompt。 IP configuration是IP的配置:可以DHCP也可静态。 Web Brower是浏览器。VPN是Easy VPN客户端。 command Prompt就是CMD,用Ping的测试等。
实验基本连通性: Internet网配置: enable
configure terminal hostname Internet line console 0 logg sy
exec-time 0 0 exit
no ip domain-lookup interface fastethernet 0/1
ip add 100.1.1.1 255.255.255.0
no shut exit
interface fastethernet 0/0
ip add 200.1.1.1 255.255.255.0 no shut exit
interface ethernet 1/1
ip add 202.103.96.1 255.255.255.0 no shut exit
interface ethernet 1/0
ip add 210.1.1.1 255.255.255.0 no shut exit
ip dhcp excluded-address 210.1.1.1 ip dhcp pool wifi
network 210.1.1.0 255.255.255.0
default-router 210.1.1.1
dns-server 202.103.96.112 exit
总部配置: enable
configure terminal hostname Internet line console 0 logg sy
exec-time 0 0 exit
no ip domain-lookup interface fastethernet 0/1
ip add 100.1.1.2 255.255.255.0 no shut
ip nat outside exit
interface fastethernet 0/0
ip add 192.168.1.254 255.255.255.0 no shut ip nat inside exit
ip route 0.0.0.0 0.0.0.0 100.1.1.1
ip dhcp excluded-address 192.168.1.254 ip dhcp pool zongbu
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
dns-server 202.103.96.112 exit
access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 100 permit ip 192.168.1.0 0.0.0.255 any
ip nat inside source list 100 interface FastEthernet0/1 overload ip nat inside source static tcp 192.168.1.253 80 100.1.1.2 80
分部配置: enable
configure terminal hostname fenbu line console 0 logg sy
exec-time 0 0 exit
no ip domain-lookup interface fastethernet 0/0
ip add 200.1.1.2 255.255.255.0 no shut
ip nat outside exit
interface fastethernet 0/1
ip add 192.168.2.254 255.255.255.0 no shut ip nat inside exit
ip route 0.0.0.0 0.0.0.0 200.1.1.1
ip dhcp excluded-address 192.168.2.254 ip dhcp pool zongbu
network 192.168.2.0 255.255.255.0
default-router 192.168.2.254
dns-server 202.103.96.112
exit
access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 100 permit ip 192.168.2.0 0.0.0.255 any
ip nat inside source list 100 interface FastEthernet0/0 overload
当基本连通性结果后,在浏览器中访问:www.xiaoT.com和www.tom.com结果如下图:
但由于VPN没有做,外网和分部的PC是Ping不通内部的PC和服务器的。 现在进行VPN配置: 总部:
crypto isakmp policy 10 encr 3des hash md5
authentication pre-share
crypto isakmp key tom address 200.1.1.2
crypto ipsec transform-set tim esp-3des esp-md5-hmac
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
crypto map tom 11 ipsec-isakmp set peer 200.1.1.2 set transform-set tim match address 101
interface FastEthernet0/1 crypto map tom
aaa new-model
aaa authentication login eza local aaa authorization network ezo local username tang password 123
ip local pool ez 192.168.3.1 192.168.3.100 crypto isakmp client configuration group myez
key 123
pool ez
crypto dynamic-map ezmap 10
cisco Packet Tracer最真实的模拟VPN综合实验
