为了帮助大家更好的复习2014年思科考试科目,我们考吧(kao8.cc)主要为大家汇编了以下辅导资料,希望考生们能够喜欢。想了解更多相关思科考试信息,我们考吧网会第一时间为大家奉上。
做此实验需开启NAT 穿越功能,cisco设备默认是开启的。
R2添加此2条命令是为了能够让外部穿越NAT设备以此来建立VPN关系
ip nat inside source static udp 10.1.1.1 4500 interface Ethernet0/1 4500
ip nat inside source static udp 10.1.1.1 500 interface Ethernet0/1 500
若不加这2条命令那么VPN建立必须是由内部发起,外部发起VPN建立不起来。
先由Inside触发ping 1.1.1.1 so 2.2.2.2后,Outside就可以ping2.2.2.2 so 1.1.1.1了。原因很简单,如果由外边发起ISAKMP的包抵达PIX后,R2无法把这个包正确的送到目的地!因为PAT是一个多对一的转换。但是先由里边发起后,R2维护了XLATE和CONNECTION表项,我们也知道R2对UDP的处理方法,在一定时间以内相应的返回包是可以穿越R2进入Inside的,这样Outside就可以ping 2.2.2.2 so 1.1.1.1了。
若设备部开启NAT穿越功能,那么只能是内部发起才能建立VPN,而且建立VPN通道模式是Tunnel模式,开启此功能后VPN建立通道模式是tunnel UDP-Encaps
穿越PAT时,包结构: ...| UDP | ESP | DATA |...
配置
R1:
crypto isakmp policy 10
authentication pre-share
crypto isakmp key cisco address 202.100.1.2
crypto ipsec transform-set tran esp-3des esp-md5-hmac
crypto map map 10 ipsec-isakmp
set peer 202.100.1.2
set transform-set tran
match address vpn
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
half-duplex
crypto map map
interface Ethernet1/2
ip address 1.1.1.1 255.255.255.0
half-duplex
ip route 0.0.0.0 0.0.0.0 10.1.1.2
ip access-list extended vpn
permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
R2:
interface Ethernet0/0
ip address 10.1.1.2 255.255.255.0
ip nat inside
ip virtual-reassembly
half-duplex
interface Ethernet0/1
ip address 202.100.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
half-duplex
ip route 0.0.0.0 0.0.0.0 Ethernet0/1
ip nat inside source list nat interface Ethernet0/1 overload
ip nat inside source static udp 10.1.1.1 4500 interface Ethernet0/1 4500
ip nat inside source static udp 10.1.1.1 500 interface Ethernet0/1 500
ip access-list standard nat
permit 1.1.1.0 0.0.0.255
permit 10.1.1.0 0.0.0.255
推荐阅读: