cisco Packet Tracer最真实的模拟VPN综合实验.docx

cisco Packet Tracer最真实的模拟VPN综合实验 PacketTracer 5.2的IPsec VPN 先简单介绍下本文的模拟真实环境想法！本文是用Cisco PacketTracer5.2模拟器做的一个关于VPN的综合实验！其基本构想是这样的，最真实的模拟了ISP的DNS服务器， Web服务器。用了一个AP来模拟移动无线网。至于Internet网的模拟嘛，还是我常说的没有私有IP路由表的路由器。先让大家看看我的实验拓扑： 实验的基本想法，配置思路和测试方法如下：。 实验的IP规划如下： PC0 PC1 :DHCP获取 笔记本：laptop0和wuxian：DHCP获取 内部服务器：Web 192.168.1.253/24 TFTP 192.168.1.252/24 ISP服务器：ISP DNS 202.103.96.112/24 ISP Web 202.103.96.120/24 总部 fa0/0:192.168.1.254/24 fa0/1:100.1.1.2/24 Internet网：fa0/1 :100.1.1.1/24 fa 0/0:200.1.1.1/24 E1/0:210.1.1.1/24(移动笔记本wuxian所获得公网地址段) E1/1:202.103.96.1/24 分部：f0/0:200.1.1.2/24 fa 0/1:192.168.2.254/24 关于PacketTracer5.2中的服务器DNS和Web的配置以及PC和笔记本的配置和测试。如图说明： 双击服务器的图标，选择Desktop，在选择IP configuration设置IP地址： 图一 图二 DNS的配置： 选择如图一的config，在选择DNS，name是域名，address是IP地址，做好就add添加。 图三 Web服务器的配置，就点HTTP，自己可以修改Html。这我就不讲了，记得服务On。 PC和笔记的配置结构一样如图： 本次试验用到了，IP configuration、Web Brower，VPN，command Prompt。 IP configuration是IP的配置：可以DHCP也可静态。 Web Brower是浏览器。VPN是Easy VPN客户端。 command Prompt就是CMD，用Ping的测试等。 实验基本连通性： Internet网配置： enable configure terminal hostname Internet line console 0 logg sy exec-time 0 0 exit no ip domain-lookup interface fastethernet 0/1 ip add 100.1.1.1 255.255.255.0 no shut exit interface fastethernet 0/0 ip add 200.1.1.1 255.255.255.0 no shut exit interface ethernet 1/1 ip add 202.103.96.1 255.255.255.0 no shut exit interface ethernet 1/0 ip add 210.1.1.1 255.255.255.0 no shut exit ip dhcp excluded-address 210.1.1.1 ip dhcp pool wifi network 210.1.1.0 255.255.255.0 default-router 210.1.1.1 dns-server 202.103.96.112 exit 总部配置： enable configure terminal hostname Internet line console 0 logg sy exec-time 0 0 exit no ip domain-lookup interface fastethernet 0/1 ip add 100.1.1.2 255.255.255.0 no shut ip nat outside exit interface fastethernet 0/0 ip add 192.168.1.254 255.255.255.0 no shut ip nat inside exit ip route 0.0.0.0 0.0.0.0 100.1.1.1 ip dhcp excluded-address 192.168.1.254 ip dhcp pool zongbu network 192.168.1.0 255.255.255.0 default-router 192.168.1.254 dns-server 202.103.96.112 exit access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 100 permit ip 192.168.1.0 0.0.0.255 any ip nat inside source list 100 interface FastEthernet0/1 overload ip nat inside source static tcp 192.168.1.253 80 100.1.1.2 80 分部配置： enable configure terminal hostname fenbu line console 0 logg sy exec-time 0 0 exit no ip domain-lookup interface fastethernet 0/0 ip add 200.1.1.2 255.255.255.0 no shut ip nat outside exit interface fastethernet 0/1 ip add 192.168.2.254 255.255.255.0 no shut ip nat inside exit ip route 0.0.0.0 0.0.0.0 200.1.1.1 ip dhcp excluded-address 192.168.2.254 ip dhcp pool zongbu network 192.168.2.0 255.255.255.0 default-router 192.168.2.254 dns-server 202.103.96.112 exit access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 100 permit ip 192.168.2.0 0.0.0.255 any ip nat inside source list 100 interface FastEthernet0/0 overload 当基本连通性结果后，在浏览器中访问：www.xiaoT.com和结果如下图： 但由于VPN没有做，外网和分部的PC是Ping不通内部的PC和服务器的。 现在进行VPN配置： 总部： crypto isakmp policy 10 encr 3des hash md5 authentication pre-share crypto isakmp key tom address 200.1.1.2 crypto ipsec transform-set tim esp-3des esp-md5-hmac access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 crypto map tom 11 ipsec-isakmp set peer 200.1.1.2 set transform-set tim match address 101 interface FastEthernet0/1 crypto map tom aaa new-model aaa authentication login eza local aaa authorization network ezo local username tang password 123 ip local pool ez 192.168.3.1 192.168.3.100 crypto isakmp client configuration group myez key 123 pool ez crypto dynamic-map ezmap 10 set transform-set tim reverse-route crypto map tom client authentication list eza crypto map tom isakmp authorization list ezo crypto map tom client configuration address respond crypto map tom 10 ipsec-isakmp dynamic ezmap 分部的配置： crypto isakmp policy 10 encr 3des hash md5 authentication pre-share crypto isakmp key tom address 100.1.1.2 crypto ipsec transform-set tim esp-3des esp-md5-hmac crypto map tom 10 ipsec-isakmp set peer 100.1.1.2 set transform-set tim match address 101 access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 interface FastEthernet0/0 crypto map tom 测试： Ipsec VPN就是分部的ping总部的PC，来检测连通性，Easy VPN的连接测试在Cisco PacketTracer 5.2模拟器的Easy VPN实验指南中有说明。 当VPN都连通后，就能ping通内部的TFTP服务器了！ 最后给大家留个问题，本实验中，我已经解决了，Ipsec VPN的VPN和NAT上网问题。但我无线笔记Easy VPN接入总部后，只能访问用IP来访问内部Web服务器，而访问不了Internet的Web服务器。这是为什么，应该如何解决。