实验拓扑
实验要求
1.实现pc4能够通过R3和R1建立的IPsec通道与1.0网段通信,但pc4不能与公网(R2)通信
2.实现pc3能够与公网(R2)进行通信,但不能通过R3与R1建立的IPsec通道与1.0网段通信
配置IPsec 可参考如下文章Cisco路由器IPSec 虚拟专用网原理与详细配置_51CTO博客_思科路由器配置ipsec
关键代码
Router(config)#access-list 111 deny ip host 192.168.2.3 192.168.1.0 0.0.0.255
Router(config)#access-list 111 permit ip host 192.168.2.2 any
Router(config)#ip nat inside source list 111 int fa0/0
Router(config)#int fa0/0
Router(config-if)#ip nat outside
Router(config-if)#int fa0/1
Router(config-if)#ip nat inside
Router(config-if)#exit代码解析
NAT与IPsec同时存在时,路由器默认会先匹配NAT流量,然后再进行对IPsec流量的匹配。
第一行代码就是阻止路由器R3的NAT匹配2.0网段通过Psec通往1.0网段的流量,按照题目要求,只阻止指定主机(也就是2.3主机)通往1.0网段的流量(未被阻止的流量就会被NAT匹配,NAT在公网中找不到通往1.0的网段,从而丢弃,轮到 Ipsec匹配时,被NAT匹配过的流量不会重新匹配,从而无法与1.0网段通过ipsec进行通信),第二行代码是允许该网段的指定主机(2.2主机)进行NAT匹配,进而进行对公网的访问。文章来源:https://www.toymoban.com/news/detail-542270.html
心得
困惑了我一天的问题终于得以解决,哈哈哈哈哈哈隔,虽说是个很小的知识点,诶,不说了,看书去了文章来源地址https://www.toymoban.com/news/detail-542270.html
到了这里,关于Cisco配置IPsec与NAT问题的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
