真實的模擬***綜合實驗

做的一個關於***的綜合實驗！其基本構想是這樣的，最真實的模擬了ISP的DNS服務器， Web服務器（簡單的講這個直接掛在Internet網的Web服務器，就是我們常說的服務器在電信啊，網通啊等ISP託管的，日常維護這些服務器都是遠程登入上去的！）。用了一個AP來模擬移動無線網（你可以想象成我們常用的無線上網，如：GPRS，無線城域網，3G等。簡單點講就是通過各種無線技術能上Internet網）。至於Internet網的模擬嘛，還是我常說的沒有私有IP路由表的路由器。先讓大家看看我的實驗拓撲：

 

實驗的基本想法，配置思路和測試方法如下：（在附件中有本實驗的PKT文件下載，大家可以按本文實驗。至於IPSEC ***講解和遠程的Easy ***我就不講解了！大家見我的博客《PacketTracer　5.2的IPsec ***實驗說明(附PacketTracer　5.2下載地址)》和《Cisco PacketTracer　5.2模擬器的Easy ***實驗指南》）。

實驗的IP規劃如下：

PC0 PC1 :DHCP獲取

筆記本：laptop0和wuxian：DHCP獲取

內部服務器：Web 192.168.1.253/24   TFTP 192.168.1.252/24

ISP服務器：ISP　DNS 202.103.96.112/24   ISP Web 202.103.96.120/24

總部 fa0/0:192.168.1.254/24 fa0/1:100.1.1.2/24

Internet網：fa0/1 :100.1.1.1/24   fa 0/0:200.1.1.1/24

             E1/0:210.1.1.1/24(移動筆記本wuxian所獲得公網地址段)

             E1/1:202.103.96.1/24（ISP DNS和ISP Web服務器的網關）

分部：f0/0:200.1.1.2/24 fa 0/1:192.168.2.254/24

關於PacketTracer5.2中的服務器DNS和Web的配置以及PC和筆記本的配置和測試。如圖說明：

雙擊服務器的圖標，選擇Desktop，在選擇IP configuration設置IP地址：

DNS的配置：（我爲ISP的Web服務器和總部的Web服務器做的DNS映射）

選擇如圖一的config，在選擇DNS，name是域名，address是IP地址，做好就add添加。

Web服務器的配置，就點HTTP，自己可以修改Html。這我就不講了，記得服務On。

 

 

本次試驗用到了，IP configuration、Web Brower，***，command Prompt。

IP configuration是IP的配置：可以DHCP也可靜態。

Web Brower是瀏覽器。***是Easy ***客戶端。

command Prompt就是CMD，用Ping的測試等。

 

實驗基本連通性：

Internet網配置：

enable

configure terminal

hostname Internet

line console 0

logg sy

exec-time 0 0

exit

no ip domain-lookup

interface fastethernet 0/1

ip add 100.1.1.1 255.255.255.0

no shut

exit

interface fastethernet 0/0

ip add 200.1.1.1 255.255.255.0

no shut

exit

interface ethernet 1/1

ip add 202.103.96.1 255.255.255.0

no shut

exit

interface ethernet 1/0

ip add 210.1.1.1 255.255.255.0

no shut

exit

ip dhcp excluded-address 210.1.1.1

ip dhcp pool wifi

 network 210.1.1.0 255.255.255.0

 default-router 210.1.1.1

 dns-server 202.103.96.112

 exit

 

總部配置：

enable

configure terminal

hostname Internet

line console 0

logg sy

exec-time 0 0

exit

no ip domain-lookup

interface fastethernet 0/1

ip add 100.1.1.2 255.255.255.0

no shut

ip nat outside

exit

interface fastethernet 0/0

ip add 192.168.1.254 255.255.255.0

no shut

ip nat inside

exit

ip route 0.0.0.0 0.0.0.0 100.1.1.1

ip dhcp excluded-address 192.168.1.254

ip dhcp pool zongbu

 network 192.168.1.0 255.255.255.0

 default-router 192.168.1.254

 dns-server 202.103.96.112

 exit

access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

access-list 100 permit ip 192.168.1.0 0.0.0.255 any

ip nat inside source list 100 interface FastEthernet0/1 overload

ip nat inside source static tcp 192.168.1.253 80 100.1.1.2 80

 

分部配置：

enable

configure terminal

hostname fenbu

line console 0

logg sy

exec-time 0 0

exit

no ip domain-lookup

interface fastethernet 0/0

ip add 200.1.1.2 255.255.255.0

no shut

ip nat outside

exit

interface fastethernet 0/1

ip add 192.168.2.254 255.255.255.0

no shut

ip nat inside

exit

ip route 0.0.0.0 0.0.0.0 200.1.1.1

ip dhcp excluded-address 192.168.2.254

ip dhcp pool zongbu

 network 192.168.2.0 255.255.255.0

 default-router 192.168.2.254

 dns-server 202.103.96.112

 exit

access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

access-list 100 permit ip 192.168.2.0 0.0.0.255 any

ip nat inside source list 100 interface FastEthernet0/0 overload

 

當基本連通性結果後，在瀏覽器中訪問：www.xiaoT.com和www.tom.com結果如下圖：

但由於***沒有做，外網和分部的PC是Ping不通內部的PC和服務器的。

現在進行***配置：

總部：

crypto isakmp policy 10

encr 3des

hash md5

authentication pre-share

 

crypto isakmp key tom address 200.1.1.2

 

crypto ipsec transform-set tim esp-3des esp-md5-hmac

 

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

 

 

crypto map tom 11 ipsec-isakmp

set peer 200.1.1.2

set transform-set tim

match address 101

 

interface FastEthernet0/1

crypto map tom

 

aaa new-model

aaa authentication login eza local

aaa authorization network ezo local

username tang password 123

 

ip local pool ez 192.168.3.1 192.168.3.100

crypto isakmp client configuration group myez

 key 123

 pool ez

 

crypto dynamic-map ezmap 10

 set transform-set tim

 reverse-route

 

crypto map tom client authentication list eza

crypto map tom isakmp authorization list ezo

crypto map tom client configuration address respond

crypto map tom 10 ipsec-isakmp dynamic ezmap

（Easy ***是IPSEC ***的兩個階段之間的2.5階段，固階段一喝階段二都可以條用一樣的策略）

 

分部的配置：

crypto isakmp policy 10

encr 3des

hash md5

authentication pre-share

 

crypto isakmp key tom address 100.1.1.2

 

crypto ipsec transform-set tim esp-3des esp-md5-hmac

 

crypto map tom 10 ipsec-isakmp

set peer 100.1.1.2

set transform-set tim

match address 101

 

access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

 

interface FastEthernet0/0

crypto map tom

 

測試：

Ipsec ***就是分部的ping總部的PC，來檢測連通性，Easy ***的連接測試在《Cisco PacketTracer　5.2模擬器的Easy ***實驗指南》中有說明。

當***都連通後，就能ping通內部的TFTP服務器了！

 

最後給大家留個問題，本實驗中，我已經解決了，Ipsec ***的***和NAT上網問題。但我無線筆記Easy ***接入總部後，只能訪問用IP來訪問內部Web服務器，而訪問不了Internet的Web服務器。這是爲什麼，應該如何解決。