实训指导2.5-1基于路由器实现分支与总部VPN连接(PT)(精).ppt

1、国家高等职业教育 网络技术专业教学资源库,计算机网络安全技术与实施,学习情境2：实训任务2.5,基于路由器实现分支与总部VPN连接,内容介绍,任务场景及描述,1,任务相关工具软件介绍,2,任务设计、规划,3,任务实施及方法技巧,4,任务检查与评价,5,任务总结,6,任务场景及描述,任务相关工具软件介绍,思科Packet Tracer（命令行方式配置）：,任务设计、规划,在实际企业环境中，经常有这样的需求，即要把企业总部与其分支机构的两个局域网络利用VPN进行连接，以实现资源的安全共享，其实这种就是前面介绍的VPN结构中的站点到站点（site to site）模式的VPN。如下图所示，长春分公司

2、的内部主机A、B通过VPN实现对北京总部内的C、D主机进行安全通信。,互联网ISP,总公司,地方或远程分公司,北京,长春,010101010101010101010101010,A,B,C,D,任务设计、规划,1、IPsec VPNs组成与功能特性IPsec VPNs在企业与分支机构的应用中较常见，对于企业的实现也不受限制， IPsec为三层VPN技术，下面重点就IPsec VPNs组成与功能特性中的站点到站点IPsec VPNs进行介绍： 2、站点到站点IPsec VPN的操作站点到站点IPsec操作的5个步骤如下：,（1）主机A发送感兴趣数据流（需要VPN保护的流量）给主机B； （2）路由

3、器R1和R2协商IKE第1阶段会话（IKE安全关联）； （3）路由器R1和R2协商IKE第2阶段会话（IPsec安全关联）； （4）感兴趣数据流信息通过IPsec隧道进行交换传输； （5）IPsec隧道终止。,任务设计、规划,3、 5个步骤中第1步哪些流量是感兴趣数据流，即需要VPN保护的流量呢？根据图中所示，感兴趣数据流对于路由器R1和R2而言的，此处感兴趣数据流是10.2.2.0/24企业总部网络到10.1.1.0/24企业分支机构的网络的互相访问的数据流量。例如：主机A到主机B的数据包的源IP为10.2.2.2，目的IP为10.1.1.2，属于10.2.2.0/24到10.1.1.0/2

4、4的数据流量，反之同理。对于路器来说它并不知道什么是感兴趣数据流，需要进行配置，可以结合访问控制列表进行指明。哪些流量不是感兴趣数据流，即不需要通过VPN保护的流量呢？根据图中所示，对于A主机（同网络的主机也是这样）要访问互联网上的其它主机（不是B主机网络中的主机），这时就不需要进行VPN保护了。如A访问公网的网址，就不是感兴趣数据流了，路由器R1或R2根据访问控制列表可以进行NAT转换处理而不是进行VPN保护了。因此在路由器R1和R2上要配置访问控制列表定义哪些数据是感兴趣数据流，哪些不是感兴趣数据流，不是感兴趣数据流需要通过配置NAT进行转换。举个例子，可能不太恰当。银行的总行与分行之间的

5、现金往来是有押运车来保护的，但是银行与蓄户之间的现金往来就没有押运车来保护了。,任务设计、规划,4、 5个步骤中第2步此步为IKE阶段1：IKE即Internet 密钥交换(Internet Key Exchange，IKE)是一种为IPSec管理和交换密钥的标准方法。可以将IKE分为两个阶段：Phase 1主要工作是进行认证，建立一个IKE SA和Phase 2主要是进行密钥交换，利用Phase 1中的IKE SA来协商IPSec SA。一旦两个对等端之间的IKE协商取得成功，那么IKE就创建到远程对等端的安全关联(security association，SA)。SA是单向的；在两个对等端

6、之间存在两个SA。IKE使用UDP端口500进行协商，确保端口500不被阻塞。下面介绍Phase 1。在phase 1 主要工作是：（1）选用协商模式main mode（主模式）和aggressive mode（可译为挑战模式或积极模式）两种模式的区别是，主模式安全性要高，提供了对通信双方身份的保护，如IP地址等信息，安全性更高；挑战模式去除了上主模式中的身份的保护等功能，因此速度上要比前一种快。 （2）选用一种身份认证方法在路由器上，通信双方主要有两种身份认证的方法：一种是通过preshare key（预共享密钥）进行连接认证，一般多采用此种方式进行身份认证；另一种是利用前面讲的非对称加密算

7、法及数字证书方式，这又分为两种：一种是(rsa-sig)使用证书授权（使用CA）；别一种是(rsa-encr)手工配置RSA密钥（不使用CA）。在思科路由器上可以使用如下命令定义身份认证的方法：(isamkp)authentication rsa-sig | rsa-encr | pre-share。,任务设计、规划,（3）选用一种加密算法 即对数据及信息的加密算法，加密算法可选56位的DES-CBC(des，默认值)或者168位的3DES(3des)。 在思科路由器上可以使用如下命令定义加密算法：(isakmp)encryption des | 3des （4）选用一种验证算法验证算法即散列

8、算法，主要用于对所传输数据或信息的完整进行验证的一种方法，那前面工作任务中提到的HASH算法。路由器中散列算法主要有sha和md5两种，默认sha。在思科路由器上可以使用如下命令定义散列算法：(isamkp)hash sha | md5 （5）选用一组diffie-hellman 公钥密码系统组（dh1 或dh2）。 D-H是基于非对称加密的一种算法，只进行密钥的生成，使通信双方都得到用于通信数据加密的对称加密密钥。 关于D-H算法可以参考前面的加密部分工作任务中，也可以利用网络进行查找更多关于此算法的详细说明。除非购买高端路由器，或是VPN通信比较少，否则最好使用group 1长度的密钥，g

9、roup命令有两个参数值：1和2。参数值1表示密钥使用768位密钥，参数值2表示密钥使用1024位密钥，显然后一种密钥安全性高，但消耗更多的CPU时间。在思科路由器上可以使用如下命令定义Diffie-Hellman密钥材料长度：(isakmp)group 1 | 2（6）定义IKE SA的生存周期对生成新SA的周期进行调整。这个值以秒为单位，默认值为86400，也就是一天。值得注意的是两端的路由器都要设置相同的SA周期，否则VPN在正常初始化之后，将会在较短的一个SA周期到达中断。该项设置允许您决定ike 的sa 在到期前可以执行多长时间。如设置为0 则表示IKE SA的连接会一直保持不中断。

10、如果IKE SA握手到期，那么IKE SA和IPSec SA均需重新协商连接。 在思科路由器上可以使用如下命令定义IKE SA的生存周期：(isakmp)lifetime seconds,任务设计、规划,5、 5个步骤中第3步在phase 2主要工作是：（1）选用协议封装ESP与AH是数据封装的两种常用方式：Encapsulating Security Payload（ESP）IP 封装安全负载协议协议号为50，ESP为IP数据包提供完整性检查、认证和加密，提供机密性并可防止篡改。ESP服务依据建立的安全关联（SA）是可选的；Authentication Header（AH）协议号为51，与E

11、SP区别在于AH没有ESP的加密特性，AH的数据完整性验证是对整个数据包做出的，包括IP头部分，但是IP头部分包含很多可变参数，如经过多个路由器后TTL、TOS、标志位、及头部校验和都可能变化，所以头部的完整性发生变化导致收发方无法匹配。而ESP是对部分数据包做数据完整性验证时，不包括IP头部分。因此从机密性与完整性角度考虑一般选择ESP封装。详细信息可通过网络进行查询。 （2）选用一种加密算法 （3）选用一种验证算法在思科路由器上可以使用如下命令定义IPSec协议封装方式、加密算法与验证算法：crypto ipsec transform-set 变换集名字 esp-des esp-md5-h

12、mac,任务设计、规划,（4）选用是否使用diffie-hellman 公钥密码系统来执行完美向前保密PFS，默认为none禁用PFS。 （5）选用变换集的模式变换集的模式有两种：隧道tunnel模式或者传输transport模式。在隧道方式下,整个IP包都封装在一个新的IP包中,并在新的IP包头和原来的IP包头之间插入IPSec头(AH/ ESP)；传输模式主要为上层协议提供保护，AH和/或ESP包头插入在IP包头和运输层协议包头之间。在思科路由器上可以使用如下命令定义变换集的模式：(crypto-transform)mode tunnel | transport （6）定义IPSec SA

13、生存时间。与IKE SA的生存时间作用不同，但原理上是类似。 6、 5个步骤中第4步这一阶段为IPSec会话阶段，在这一过程中SAs在通信双方间进行交换，并将协商的安全服务应用到数据流量上。7、 5个步骤中第5步这一阶段为隧道终止，隧道终止的可能原因是:设定的SA生存时间到了；包计时器超出，IPsec SA被移除。,任务设计、规划,为配置的实现对上图的简化，下面是要进行的实际配置中的图及具体参数。,模拟互联网,总公司,地方或远程分公司,北京,长春,A,C,IP:10.2.2.2,IP:10.2.2.1,IP:10.1.1.2,IP:10.1.1.1,R1,200.1.1.1,100.1.1.2

14、,200.1.1.2,100.1.1.1,R2,R3,S1/0,S1/0,S1/1,S1/1,FE0/0,FE0/0,任务实施及方法技巧,通过命令行配置站点到站点VPN 1VPN服务器Router：R1(VPN Server)的配置 （1）IKE配置 router(config)# hostname r1 r1(config)# crypto isakmp policy 1 /定义策略为1 r1(config)# hash md5 /定义MD5散列算法 r1(isakmp)# authentication pre-share /定义为预共享密钥认证方式 r1(isakmp)# exit r1(

15、config)# crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0 /配置预共享密钥为cisco123,对等端为所有IP （2）IPSec协议配置 r1(config)# crypto ipsec transform-set rtpset esp-des esp-md5-hmac /创建变换集 r1(config)# crypto dynamic-map rtpmap 10 /创建动态保密图rtpmap 10 r1(crypto-map)# set transform-set rtpset /使用上面的定义的变换集rtpset r1 (cry

16、pto-map)# match address 115 /援引访问列表确定受保护的流量 r1 (crypto-map)# exit r1(config)# crypto map rtptrans 10 ipsec-isakmp dynamic rtpmap /将动态保密图集加入到正规的图集中 r1(config)# interface fastethernet 0/0 r1(config-if)# ip address 10.2.2.1 255.255.255.0,任务实施及方法技巧,r1(config-if)# ip nat inside r1(config-if)# exit r1(con

17、fig)# interface Serial 1/0 r1(config-if)# ip address 100.1.1.1 255.255.255.0 r1(config-if)# clock rate 64000 r1(config-if)# no shutdown r1(config-if)# ip nat outside r1(config-if)# crypto map rtptrans /将保密映射应用到S1/1接口上 r1(config-if)# exit r1(config)# ip nat inside source route-map nonat interface Ser

18、ial1/0 overload !- 这个NAT配置启用了路由策略，内容为10.2.2.0到10.1.1.0的访问不进行地址翻译 !- 到其他网络的访问都翻译成S0/0接口的IP地址 r1(config)# ip route 0.0.0.0 0.0.0.0 Serial1/0 /配置静态路由协议 r1(config)# access-list 115 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255 r1(config)# access-list 115 deny ip 10.2.2.0 0.0.0.255 any r1(config)# acce

19、ss-list 120 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255 r1(config)# access-list 120 permit ip 10.2.2.0 0.0.0.255 any r1(config)# route-map nonat permit 10 /使用路由策略 r1(router-map)# match ip address 120 r1(config)# line vty 0 4 r1(config-line)# password cey r1(config-line)# login,任务实施及方法技巧,2 模拟互联网路由器

20、R2的配置模拟互联网路由器R2只需要配置连接路由器R1和R3的两个接口的IP地址即可： router(config)# hostname r2 r2(config)# interface Serial1/0 r2(config-if)# ip address 100.1.1.2 255.255.255.0 r2(config-if)# clock rate 64000 r2(config-if)# no shutdown r2(config-if)#exit r2(config)# interface Serial1/1 r2(config-if)# ip address 200.1.1.1

21、255.255.255.0 r2(config-if)# clock rate 64000 r2(config-if)# no shutdown,任务实施及方法技巧,3VPN客户端Router：R3（VPN Client）的配置 router(config)# hostname r3 r3(config)# crypto isakmp policy 1 /定义策略为1 r3(isakmp)# hash md5 /定义MD5散列算法 r3(isakmp)# authentication pre-share /定义为预共享密钥认证方式 r3(config)# crypto isakmp key c

22、isco123 address 100.1.1.1 !- 配置预共享密钥为cisco123,对等端为服务器端IP100.1.1.1 !- IPSec协议配置 r3(config)# crypto ipsec transform-set rtpset esp-des esp-md5-hmac /创建变换集 r3(config)# crypto map rtp 1 ipsec-isakmp / 使用IKE创建保密图rtp 1 r3(crypto-map)# set peer 100.1.1.1 /确定远程对等端 r3(crypto-map)# set transform-set rtpset /使

23、用上面的定义的变换集rtpset r3(crypto-map)# match address 115 /援引访问列表确定受保护的流量 r3(config)# interface fastethernet0/0 r3(config-if)# ip address 10.1.1.1 255.255.255.0 r3(config-if)# clock rate 64000 r3(config-if)# no shutdown r3(config-if)# ip nat inside r3(config-if)#exit,任务实施及方法技巧,r3(config)# interface Serial1

24、/1 r3(config-if)# ip address 200.1.1.2 255.255.255.0 r3(config-if)# clock rate 64000 r3(config-if)# no shutdown r3(config-if)# ip nat outside r3(config-if)# crypto map rtp /将保密映射应用到S0/1接口上 r3(config-if)#exit r3(config)# ip nat inside source route-map nonat interface Serial1/1 overload !- 这个NAT配置启用了路

25、由策略，内容为10.1.1.0到10.2.2.0的访问不进行地址翻译 !- 到其他网络的访问都翻译成S1/1接口的IP地址 r3(config-if)# ip route 0.0.0.0 0.0.0.0 Serial0 /配置静态路由协议 r3(config)# access-list 115 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255 r3(config)# access-list 115 deny ip 10.1.1.0 0.0.0.255 any r3(config)# access-list 120 deny ip 10.1.1.0

26、0.0.0.255 10.2.2.0 0.0.0.255 r3(config)# access-list 120 permit ip 10.1.1.0 0.0.0.255 any r3(config)# route-map nonat permit 10 /使用路由策略 r3(router-map)# match ip address 120,任务检查与评价,在基于命令行配置的VPN连接检测在基于命令行中，可以借助于，Show 和Debug命令进行VPN连接的测试与排错。r1# show crypto isakmp sa /列出活动的IKE会话r1# show crypto ipsec sa

27、/列出活动的IPsec安全关联r1# debug crypto isakmp /调试IKE通信,任务检查与评价,进一步理解VPN技术原理、优势及分类，以及隧道建立的过程，这个工作任务建议是由课内完成的，要求达到的目标是：能够深入理解VPN及隧道技术，并能在路由器上基于命令行方式（不建议用SDM）进行VPN连接的配置，并能进行正确的检查。,任务总结,本任务围绕IPSEC技术，配置路由器的远程VPN互联： 本任务是对企业实际应用最为广泛的VPN技术 这种VPN连接适合于企业网络接入设备为路由器，且有固定的公网IP地址 这是典型的Intranet VPN，即Site To Site站点到站点VPN连

28、接类型 可以在此基础上扩展IPSEC OVER GRE和GRE OVER IPSEC的应用,谢谢您的收看！ 请多提宝贵意见！,谢谢,附件：基于项目案例的配置,附件：基于项目案例的配置,X_R#show run /初始配置 hostname X_R enable password cisco interface FastEthernet0/0ip address 201.1.1.2 255.255.255.0ip nat outside interface FastEthernet0/1ip address 192.168.19.1 255.255.255.0ip nat inside rout

29、er ospf 1network 192.168.19.0 0.0.0.255 area 0 ip nat pool poolnatx 201.1.1.2 201.1.1.4 netmask 255.255.255.0 ip nat inside source list 10 pool poolnatx overload ip route 0.0.0.0 0.0.0.0 201.1.1.1 access-list 10 permit 192.168.11.0 0.0.0.255 access-list 10 permit 192.168.12.0 0.0.0.255 access-list 1

30、0 permit 192.168.13.0 0.0.0.255 access-list 10 permit 192.168.14.0 0.0.0.255 access-list 10 permit 192.168.15.0 0.0.0.255 access-list 10 permit 192.168.16.0 0.0.0.255 access-list 10 permit 192.168.17.0 0.0.0.255 access-list 10 permit 192.168.18.0 0.0.0.255 access-list 10 permit 192.168.19.0 0.0.0.25

31、5 line vty 0 4password ciscologin end,附件：基于项目案例的配置,Z_R#show run /初始配置 hostname Z_R ip dhcp pool poolznetwork 192.168.201.0 255.255.255.0default-router 192.168.201.254dns-server 207.1.1.2 interface FastEthernet0/0ip address 204.1.1.2 255.255.255.0ip nat outside interface FastEthernet0/1ip address 192

32、.168.201.254 255.255.255.0ip nat inside ip nat inside source list 10 interface FastEthernet0/0 overload ip route 0.0.0.0 0.0.0.0 204.1.1.1 access-list 10 permit 192.168.201.0 0.0.0.255 end,附件：基于项目案例的配置,X_R#show run /配置办事处单独的IPSEC之后 hostname X_R enable password cisco crypto isakmp policy 1encr 3desha

33、sh md5authentication pre-sharegroup 2lifetime 80000 crypto isakmp key cisco123456 address 204.1.1.2 crypto ipsec transform-set set123 esp-3des esp-md5-hmac crypto map map123 1 ipsec-isakmp set peer 204.1.1.2set transform-set set123 match address 110 interface FastEthernet0/0ip address 201.1.1.2 255.

34、255.255.0ip nat outsidecrypto map map123! interface FastEthernet0/1ip address 192.168.19.1 255.255.255.0ip nat inside,router ospf 1 network 192.168.19.0 0.0.0.255 area 0 ip nat pool poolnatx 201.1.1.2 201.1.1.4 netmask 255.255.255.0 ip nat inside source list 111 pool poolnatx overload ip route 0.0.0

35、.0 0.0.0.0 201.1.1.1 access-list 111 deny ip 192.168.16.0 0.0.0.255 192.168.201.0 0.0.0.255 access-list 111 permit ip 192.168.11.0 0.0.0.255 any access-list 111 permit ip 192.168.12.0 0.0.0.255 any access-list 111 permit ip 192.168.13.0 0.0.0.255 any access-list 111 permit ip 192.168.14.0 0.0.0.255

36、any access-list 111 permit ip 192.168.15.0 0.0.0.255 any access-list 111 permit ip 192.168.16.0 0.0.0.255 any access-list 111 permit ip 192.168.17.0 0.0.0.255 any access-list 111 permit ip 192.168.18.0 0.0.0.255 any access-list 111 permit ip 192.168.19.0 0.0.0.255 any access-list 110 permit ip 192.1

37、68.16.0 0.0.0.255 192.168.201.0 0.0.0.255 line vty 0 4password ciscologin end,附件：基于项目案例的配置,X_R#show run /配置办事处、分公司两者的IPSEC之后 hostname X_R enable password cisco crypto isakmp policy 1encr 3deshash md5authentication pre-sharegroup 2lifetime 80000 crypto isakmp key cisco123456 address 203.1.1.2 crypto

38、isakmp key cisco123456 address 204.1.1.2 crypto ipsec transform-set set123 esp-3des esp-md5-hmac crypto map map123 1 ipsec-isakmp set peer 204.1.1.2set peer 203.1.1.2set transform-set set123 match address 110 interface FastEthernet0/0ip address 201.1.1.2 255.255.255.0ip nat outsidecrypto map map123

39、interface FastEthernet0/1ip address 192.168.19.1 255.255.255.0ip nat inside,router ospf 1network 192.168.19.0 0.0.0.255 area 0 ip nat pool poolnatx 201.1.1.2 201.1.1.4 netmask 255.255.255.0 ip nat inside source list 111 pool poolnatx overload ip route 0.0.0.0 0.0.0.0 201.1.1.1 access-list 111 deny i

40、p 192.168.16.0 0.0.0.255 192.168.201.0 0.0.0.255 access-list 111 deny ip 192.168.16.0 0.0.0.255 192.168.104.0 0.0.0.255 access-list 111 deny ip 192.168.16.0 0.0.0.255 192.168.105.0 0.0.0.255 access-list 111 deny ip 192.168.16.0 0.0.0.255 192.168.106.0 0.0.0.255 access-list 111 deny ip 192.168.16.0 0

41、.0.0.255 192.168.107.0 0.0.0.255 access-list 111 deny ip 192.168.16.0 0.0.0.255 192.168.108.0 0.0.0.255 access-list 111 deny ip 192.168.16.0 0.0.0.255 192.168.109.0 0.0.0.255 access-list 111 permit ip 192.168.11.0 0.0.0.255 any access-list 111 permit ip 192.168.12.0 0.0.0.255 any access-list 111 per

42、mit ip 192.168.13.0 0.0.0.255 any access-list 111 permit ip 192.168.14.0 0.0.0.255 any access-list 111 permit ip 192.168.15.0 0.0.0.255 any access-list 111 permit ip 192.168.16.0 0.0.0.255 any access-list 111 permit ip 192.168.17.0 0.0.0.255 any access-list 111 permit ip 192.168.18.0 0.0.0.255 any a

43、ccess-list 111 permit ip 192.168.19.0 0.0.0.255 any access-list 110 permit ip 192.168.16.0 0.0.0.255 192.168.201.0 0.0.0.255 access-list 110 permit ip 192.168.16.0 0.0.0.255 192.168.104.0 0.0.0.255 access-list 110 permit ip 192.168.16.0 0.0.0.255 192.168.105.0 0.0.0.255 access-list 110 permit ip 192

44、.168.16.0 0.0.0.255 192.168.106.0 0.0.0.255 access-list 110 permit ip 192.168.16.0 0.0.0.255 192.168.107.0 0.0.0.255 access-list 110 permit ip 192.168.16.0 0.0.0.255 192.168.108.0 0.0.0.255 access-list 110 permit ip 192.168.16.0 0.0.0.255 192.168.109.0 0.0.0.255,附件：基于项目案例的配置,Z_R#show run /配置IPSEC之后

45、hostname Z_R ip dhcp pool poolznetwork 192.168.201.0 255.255.255.0default-router 192.168.201.254dns-server 207.1.1.2 crypto isakmp policy 1encr 3deshash md5authentication pre-sharegroup 2lifetime 80000 crypto isakmp key cisco123456 address 201.1.1.2 crypto ipsec transform-set set123 esp-3des esp-md5

46、-hmac crypto map map123 1 ipsec-isakmp set peer 201.1.1.2set transform-set set123 match address 110 interface FastEthernet0/0ip address 204.1.1.2 255.255.255.0ip nat outsidecrypto map map123 interface FastEthernet0/1ip address 192.168.201.254 255.255.255.0ip nat inside ip nat inside source list 111

47、interface FastEthernet0/0 overload ip route 0.0.0.0 0.0.0.0 204.1.1.1 access-list 110 permit ip 192.168.201.0 0.0.0.255 192.168.16.0 0.0.0.255 access-list 111 deny ip 192.168.201.0 0.0.0.255 192.168.16.0 0.0.0.255 access-list 111 permit ip 192.168.201.0 0.0.0.255 any line vty 0 4login end,附件：基于项目案例的

48、配置,Y_R#show run /配置与总部的192.168.16.0的IPSEC之后 hostname Y_R crypto isakmp policy 2encr 3deshash md5authentication pre-sharegroup 2lifetime 80000 crypto isakmp key cisco123456 address 201.1.1.2 crypto ipsec transform-set set123 esp-3des esp-md5-hmac crypto map map123 1 ipsec-isakmp set peer 201.1.1.2set

49、 transform-set set123 match address 110 interface FastEthernet0/0ip address 203.1.1.2 255.255.255.0ip nat outsidecrypto map map123 interface FastEthernet0/1ip address 192.168.109.1 255.255.255.0ip nat inside router ripnetwork 192.168.109.0,ip nat pool poolnaty 203.1.1.2 203.1.1.5 netmask 255.255.255

50、.0 ip nat inside source list 111 pool poolnaty overload ip route 0.0.0.0 0.0.0.0 203.1.1.1 access-list 111 deny ip 192.168.104.0 0.0.0.255 192.168.16.0 0.0.0.255 access-list 111 deny ip 192.168.105.0 0.0.0.255 192.168.16.0 0.0.0.255 access-list 111 deny ip 192.168.106.0 0.0.0.255 192.168.16.0 0.0.0.

51、255 access-list 111 deny ip 192.168.107.0 0.0.0.255 192.168.16.0 0.0.0.255 access-list 111 deny ip 192.168.108.0 0.0.0.255 192.168.16.0 0.0.0.255 access-list 111 deny ip 192.168.109.0 0.0.0.255 192.168.16.0 0.0.0.255 access-list 111 permit ip 192.168.104.0 0.0.0.255 any access-list 111 permit ip 192

52、.168.105.0 0.0.0.255 any access-list 111 permit ip 192.168.106.0 0.0.0.255 any access-list 111 permit ip 192.168.107.0 0.0.0.255 any access-list 111 permit ip 192.168.108.0 0.0.0.255 any access-list 111 permit ip 192.168.109.0 0.0.0.255 any access-list 110 permit ip 192.168.104.0 0.0.0.255 192.168.1

53、6.0 0.0.0.255 access-list 110 permit ip 192.168.105.0 0.0.0.255 192.168.16.0 0.0.0.255 access-list 110 permit ip 192.168.106.0 0.0.0.255 192.168.16.0 0.0.0.255 access-list 110 permit ip 192.168.107.0 0.0.0.255 192.168.16.0 0.0.0.255 access-list 110 permit ip 192.168.108.0 0.0.0.255 192.168.16.0 0.0.0.255 access-list 110 permit ip 192.168.109.0 0.0.0.255 192.168.16.0 0.0.0.255,