Scorpion

拓扑如下 网络环境介绍： site1和site2通过NAT的方式连接到ISP，现在要求通过使用site-to-site VPN来实现site1和site2内网之间的通信。IP地址规划如图所示。 Site1的配置 首先在site1上做好PAT的配置，这里有一点要注意的是要deny掉site1内网到site2内网的流量，否则在site1接收到192.168.1.0 到172.16.1.0 的流量后，不会启动VPN通道。 access-list 100 deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255 access-list 100 permit ip 192.168.1.0 0.0.0.255 any ip nat inside source list 100 int s1/0 overload int s1/0 ip nat outside int fa0/0 ip nat inside site1到ISP的默认路由 ip route 0.0.0.0 0.0.0.0 12.1.1.2 现在在site1上开始VPN的相关配置 定义感兴趣的流量 access-list 101 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255 ISAKMP的相关配置 crypto isakmp policy 1    创建isakmp策略集 encryption 3des    使用3DES加密算法 authentication pre-share    使用预共享密钥来认证对方身份 hash sha    使用sha的哈希算法来实现数据传输的完整性 group 5    DH组 lifetime 86400    isakmp协商的策略集的存活时间 ! crypto isakmp key cisco address 23.1.1.2    预共享密钥的密码cisco ，指定进行认证的对端的IP地址23.1.1.2 crypto ipsec transform-set tosite2 esp-3des esp-sha-hmac    创建名位tosite2的ipsec转换集 mode tunnel    使用隧道模式 ! crypto map 1 site1tosite2 ipsec-isakmp    创建名为site1tosite2的映射 match address 101 set peer 23.1.1.2 set transform-set tosite2 ! interface s1/0    应用map到接口 crypto map site1tosite2   对于site2，就是site1的逆向过程，除了ACL以及指定对端的peer是site1的S1/0口的地址外，其它的配置基本上都是一样的，在这里就不多赘述了。 现在来验证下上面的配置是否正确，使用PC1 ping PC3观察实验结果： VPCS 1 >ping 172.16.1.2
172.16.1.2 icmp_seq=1 timeout
172.16.1.2 icmp_seq=2 timeout
172.16.1.2 icmp_seq=3 time=194.000 ms
172.16.1.2 icmp_seq=4 time=92.000 ms
172.16.1.2 icmp_seq=5 time=53.000 ms VPCS 1 >show NAME   IP/CIDR              GATEWAY           MAC                LPORT  RPORT
PC1    192.168.1.2/24       192.168.1.1       00:50:79:66:68:00  20000  30000
PC2    172.16.1.2/24        172.16.1.1        00:50:79:66:68:01  20001  30001 可以看到site1内网的PC1能够ping通site2内网的PC2。 同时观察下isakmp sa的情况 site1#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
23.1.1.2        12.1.1.1        QM_IDLE           1001    0 ACTIVE IPv6 Crypto ISAKMP SA ACTIVE状态显示VPN通道已经被激活。 现在来看看ipsec sa的情况 site1#show crypto ipsec sa interface: Serial1/0
    Crypto map tag: site1tosite2, local addr 12.1.1.1    protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
   current_peer 23.1.1.2 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 8, #pkts encrypt: 8, #pkts digest: 8
    #pkts decaps: 8, #pkts decrypt: 8, #pkts verify: 8
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 2, #recv errors 0      local crypto endpt.: 12.1.1.1, remote crypto endpt.: 23.1.1.2
     path mtu 1500, ip mtu 1500, ip mtu idb Serial1/0
     current outbound spi: 0xC12065F7(3240125943)     inbound esp sas:
      spi: 0xE4961777(3835041655)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 3, flow_id: 3, crypto map: site1tosite2
        sa timing: remaining key lifetime (k/sec): (4513974/2661)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE      inbound ah sas:      inbound pcp sas:      outbound esp sas:
      spi: 0xC12065F7(3240125943)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 4, flow_id: 4, crypto map: site1tosite2
        sa timing: remaining key lifetime (k/sec): (4513974/2660)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE      outbound ah sas:      outbound pcp sas:
site1# 从上面可以看出，ipsec sa的协商是双向的，inbound和outbound ，转换集，传输模式，状态ACTIVE，说明ipsec sa的协商是成功的。[/img]..

不多说了，先上拓扑

拓扑环境比较简单，都在一个局域网内
R1    fa0/0         192.168.1.1/24
Server0              192.168.1.2/24
PC0                     192.168.1.3/24
 
下面我演示一下如何在PT上面实现AAA认证
R0的配置如下：
hostname R1                                        重命名主机名，后面AAA服务器上要用到的
 
常规配置
no ip domain-lookup                           
enable secret 5 $1$mERr$3HhIgMGBA/9qNmgzccuxv0                  enable密码是123
interface FastEthernet0/0
 ip address 192.168.1.1 255.255.255.0
line con 0
 exec-timeout 0 0
 logging synchronous
 login
 
aaa new-model                                    开启AAA
tacacs-server host 192.168.1.2       指定TACACS+的服务器地址和KEY
tacacs-server key abc
aaa authentication login default group tacacs+ enable                    指定首先使用TACACS+认证，其次是enable密码登录
line vty 0 4
 login
 login authentication default           vty线路下调用
 
 
server0上的配置，IP地址就不用说了吧 ，192.168.1.2/24
介绍下AAA服务器的配置

至此，server0也就是AAA服务上的配置完成。
 
下面我们在PC0上面telnet到R1来验证下我们的配置是否生效。

从上图我们可以看出，AAA的配置确实生效了。
 
PS：PT里面只支持AAA的认证和授权，而且功能有限，不过对于我们学习AAA ，了解AAA足够了，如果要更深入的了解，就需要去钻研了，总的来说，PT 5.3确实是一个不错的模拟器，特别是对于初学者。
 
附件：PT下实现简单的AAA认证实验.pkt 请先解压缩再打开[/img]..

时间总是过的很快，一转眼的时间，好久都没有写点东西了，实在是高手太多，有点怕写了。偶尔的一些东西也是写写自己对网络的个人体会和心得，瞬间的灵光我想记下来总是好的，可以在闲暇之余，感受一下当时的想法..

 
PC0 和PC1都未设置默认网关，为了对比观察的结果，PC2 设置网关为172.16.2.1 。细心的朋友可能已经注意到了，3台PC的子网掩码的变化。
 
现在我用PC0 去ping PC2 ，先预测下实验结果，以及PC0、Router1、PC2的ARP表中地址对应情况。
 
实验分析：172.16.2.2/24的IP地址对于PC0来说是属于同一个网段的IP，所以PC0在没有默认网关的情况下，能够发送ARP请求，请求同网段内PC2 的MAC地址。路由器在接收到此广播请求之后，发现PC2在另一个网段，并且通过自己可达，而且路由器开启了代理ARP，所以路由器会以自己的MAC地址回应此请求。
 
此时PC0的ARP缓存里面对应的则是172.16.2.2和Router1的Fa0/0接口的MAC地址，即使PC0设置了默认网关，也是如此。
 

 
通过以上实验，我们可以看出代理ARP其实就是路由器对于客户端ARP请求的回应，而客户端要能够发送ARP请求，则要保证目的地址必须和源地址在同一网段内，才会发生。[/img]..

上次介绍了在模拟器上的实验，今天我使用真机做客户端，来重复上述实验，比较下得到的实验结果
我的实验环境和拓扑如下
 

 
PC未设置网关，路由器默认开启代理ARP ，在R2上添加一条到达192.168.1.0/24网段的静态路由，此时在PC上ping 192.168.2.2 ，查看实验结果
 

 

 
在R1上开启debug ，没有捕获到任何信息 ，在PC上使用arp –a显示PC的ARP缓存表为空。