在NAT环境中实现Site-to-SiteVPN

拓扑如下 网络环境介绍： site1和site2通过NAT的方式连接到ISP，现在要求通过使用site-to-site VPN来实现site1和site2内网之间的通信。IP地址规划如图所示。 Site1的配置 首先在site1上做好PAT的配置，这里有一点要注意的是要deny掉site1内网到site2内网的流

拓扑如下

网络环境介绍：

site1和site2通过NAT的方式连接到ISP，现在要求通过使用site-to-site VPN来实现site1和site2内网之间的通信。IP地址规划如图所示。

Site1的配置

首先在site1上做好PAT的配置，这里有一点要注意的是要deny掉site1内网到site2内网的流量，否则在site1接收到192.168.1.0 到172.16.1.0 的流量后，不会启动VPN通道。

access-list 100 deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255

access-list 100 permit ip 192.168.1.0 0.0.0.255 any

ip nat inside source list 100 int s1/0 overload

int s1/0

ip nat outside

int fa0/0

ip nat inside

site1到ISP的默认路由

ip route 0.0.0.0 0.0.0.0 12.1.1.2

现在在site1上开始VPN的相关配置

定义感兴趣的流量

access-list 101 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255

ISAKMP的相关配置

crypto isakmp policy 1 创建isakmp策略集

encryption 3des 使用3DES加密算法

authentication pre-share 使用预共享密钥来认证对方身份

hash sha 使用sha的哈希算法来实现数据传输的完整性

group 5 DH组

lifetime 86400 isakmp协商的策略集的存活时间

!

crypto isakmp key cisco address 23.1.1.2 预共享密钥的密码cisco ，指定进行认证的对端的IP地址23.1.1.2

crypto ipsec transform-set tosite2 esp-3des esp-sha-hmac 创建名位tosite2的ipsec转换集

mode tunnel 使用隧道模式

!

crypto map 1 site1tosite2 ipsec-isakmp 创建名为site1tosite2的映射

match address 101

set peer 23.1.1.2

set transform-set tosite2

!

interface s1/0 应用map到接口

crypto map site1tosite2

对于site2，就是site1的逆向过程，除了ACL以及指定对端的peer是site1的S1/0口的地址外，其它的配置基本上都是一样的，在这里就不多赘述了。

现在来验证下上面的配置是否正确，使用PC1 ping PC3观察实验结果：

VPCS 1 >ping 172.16.1.2
172.16.1.2 icmp_seq=1 timeout
172.16.1.2 icmp_seq=2 timeout
172.16.1.2 icmp_seq=3 time=194.000 ms
172.16.1.2 icmp_seq=4 time=92.000 ms
172.16.1.2 icmp_seq=5 time=53.000 ms

VPCS 1 >show

NAME IP/CIDR GATEWAY MAC LPORT RPORT
PC1 192.168.1.2/24 192.168.1.1 00:50:79:66:68:00 20000 30000
PC2 172.16.1.2/24 172.16.1.1 00:50:79:66:68:01 20001 30001

可以看到site1内网的PC1能够ping通site2内网的PC2。

同时观察下isakmp sa的情况

site1#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
23.1.1.2 12.1.1.1 QM_IDLE 1001 0 ACTIVE

IPv6 Crypto ISAKMP SA

ACTIVE状态显示VPN通道已经被激活。

现在来看看ipsec sa的情况

site1#show crypto ipsec sa

interface: Serial1/0
Crypto map tag: site1tosite2, local addr 12.1.1.1

protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
current_peer 23.1.1.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 8, #pkts encrypt: 8, #pkts digest: 8
#pkts decaps: 8, #pkts decrypt: 8, #pkts verify: 8
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 2, #recv errors 0

local crypto endpt.: 12.1.1.1, remote crypto endpt.: 23.1.1.2
path mtu 1500, ip mtu 1500, ip mtu idb Serial1/0
current outbound spi: 0xC12065F7(3240125943)

inbound esp sas:
spi: 0xE4961777(3835041655)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 3, flow_id: 3, crypto map: site1tosite2
sa timing: remaining key lifetime (k/sec): (4513974/2661)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0xC12065F7(3240125943)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 4, flow_id: 4, crypto map: site1tosite2
sa timing: remaining key lifetime (k/sec): (4513974/2660)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE

outbound ah sas:

outbound pcp sas:
site1#

从上面可以看出，ipsec sa的协商是双向的，inbound和outbound ，转换集，传输模式，状态ACTIVE，说明ipsec sa的协商是成功的。