收藏
下载资源下载资源 加入VIP,免费下载

用cisco路由器实现VPN实例配置方案设计设计.docx

上传人:b****2 文档编号:1341418 上传时间:2022-10-21 格式:DOCX 页数:17 大小:116.18KB
下载 相关 举报
用cisco路由器实现VPN实例配置方案设计设计.docx_第1页
第1页 / 共17页
用cisco路由器实现VPN实例配置方案设计设计.docx_第2页
第2页 / 共17页
用cisco路由器实现VPN实例配置方案设计设计.docx_第3页
第3页 / 共17页
用cisco路由器实现VPN实例配置方案设计设计.docx_第4页
第4页 / 共17页
用cisco路由器实现VPN实例配置方案设计设计.docx_第5页
第5页 / 共17页
点击查看更多>>
下载资源
资源描述

用cisco路由器实现VPN实例配置方案设计设计.docx

《用cisco路由器实现VPN实例配置方案设计设计.docx》由会员分享,可在线阅读,更多相关《用cisco路由器实现VPN实例配置方案设计设计.docx(17页珍藏版)》请在冰豆网上搜索。

用cisco路由器实现VPN实例配置方案设计设计.docx

用cisco路由器实现VPN实例配置方案设计设计

实用标准文案

用cisco路由器实现VPN实例配置方案-中文注解

来源:

cisco发表时间:

2005-11-8

Router:

sam-i-am(VPNServer)

Currentconfiguration:

!

version12.2

servicetimestampsdebuguptime

servicetimestampsloguptime

noservicepassword-encryption

!

hostnamesam-i-am

!

ipsubnet-zero

!

---IKE配置

sam-i-am(config)#cryptoisakmppolicy1//定义策略为1

sam-i-am(isakmp)#hashmd5//定义MD5散列算法

sam-i-am(isakmp)#authenticationpre-share//定义为预共享密钥认证方式

sam-i-am(config)#cryptoisakmpkeycisco123address0.0.0.00.0.0.0

精彩文档.

实用标准文案

!

---配置预共享密钥为cisco123,对等端为所有IP

!

---IPSec协议配置

sam-i-am(config)#cryptoipsectransform-setrtpsetesp-desesp-md5-hmac

!

---创建变换集esp-desesp-md5-hmac

sam-i-am(config)#cryptodynamic-maprtpmap10//创建动态保密图rtpmap10

san-i-am(crypto-map)#settransform-setrtpset//使用上面的定义的变换集rtpset

san-i-am(crypto-map)#matchaddress115//援引访问列表确定受保护的流量

sam-i-am(config)#cryptomaprtptrans10ipsec-isakmpdynamicrtpmap

!

---将动态保密图集加入到正规的图集中

!

interfaceEthernet0

ipaddress10.2.2.3255.255.255.0

noipdirected-broadcast

ipnatinside

nomopenabled

!

精彩文档.

实用标准文案

interfaceSerial0

ipaddress99.99.99.1255.255.255.0

noipdirected-broadcast

ipnatoutside

cryptomaprtptrans//将保密映射应用到S0接口上

!

ipnatinsidesourceroute-mapnonatinterfaceSerial0overload

!

---这个NAT配置启用了路由策略,内容为10.2.2.0到10.1.1.0的访问不进行地址翻译

!

---到其他网络的访问都翻译成SO接口的IP地址

ipclassless

iproute0.0.0.00.0.0.0Serial0//配置静态路由协议

noiphttpserver

!

access-list115permitip10.2.2.00.0.0.25510.1.1.00.0.0.255

access-list115denyip10.2.2.00.0.0.255any

!

access-list120denyip10.2.2.00.0.0.25510.1.1.00.0.0.255

access-list120permitip10.2.2.00.0.0.255any

!

sam-i-am(config)#route-mapnonatpermit10//使用路由策略

精彩文档.

实用标准文案

sam-i-am(router-map)#matchipaddress120

!

linecon0

transportinputnone

lineaux0

linevty04

passwordww

login

!

end

Router:

dr_whoovie(VPNClient)

Currentconfiguration:

!

version12.2

servicetimestampsdebuguptime

servicetimestampsloguptime

noservicepassword-encryption

精彩文档.

实用标准文案

!

hostnamedr_whoovie

!

ipsubnet-zero

!

dr_whoovie(config)#cryptoisakmppolicy1//定义策略为1

dr_whoovie(isakmp)#hashmd5//定义MD5散列算法

dr_whoovie(isakmp)#authenticationpre-share//定义为预共享密钥认证方式

dr_whoovie(config)#cryptoisakmpkeycisco123address99.99.99.1

!

---配置预共享密钥为cisco123,对等端为服务器端IP99.99.99.1

!

---IPSec协议配置

dr_whoovie(config)#cryptoipsectransform-setrtpsetesp-desesp-md5-hmac

!

---创建变换集esp-desesp-md5-hmac

dr_whoovie(config)#cryptomaprtp1ipsec-isakmp

!

---使用IKE创建保密图rtp1

精彩文档.

实用标准文案

dr_whoovie(crypto-map)#setpeer99.99.99.1//确定远程对等端

dr_whoovie(crypto-map)#settransform-setrtpset//使用上面的定义的变换集rtpset

dr_whoovie(crypto-map)#matchaddress115//援引访问列表确定受保护的流量

!

interfaceEthernet0

ipaddress10.1.1.1255.255.255.0

noipdirected-broadcast

ipnatinside

nomopenabled

!

interfaceSerial0

ipaddressnegotiated//IP地址自动获取

noipdirected-broadcast

ipnatoutside

encapsulationppp//S0接口封装ppp协议

noipmroute-cache

noiproute-cache

cryptomaprtp//将保密映射应用到S0接口上

!

精彩文档.

实用标准文案

ipnatinsidesourceroute-mapnonatinterfaceSerial0overload

!

---这个NAT配置启用了路由策略,内容为10.1.1.0到10.2.2.0的访问不进行地址翻译

!

---到其他网络的访问都翻译成SO接口的IP地址

ipclassless

iproute0.0.0.00.0.0.0Serial0//配置静态路由协议

noiphttpserver

!

access-list115permitip10.1.1.00.0.0.25510.2.2.00.0.0.255

access-list115denyip10.1.1.00.0.0.255any

access-list120denyip10.1.1.00.0.0.25510.2.2.00.0.0.255

access-list120permitip10.1.1.00.0.0.255any

!

dialer-list1protocolippermit

dialer-list1protocolipxpermit

route-mapnonatpermit10//使用路由策略

matchipaddress120

!

linecon0

精彩文档.

实用标准文案transportinputnone

lineaux0

linevty04

passwordww

login

!

end

----------------配置-----------IKE

ecVPN对等端为了建立信任关系,必须交换某种形式的认证密钥。

IPSInternet密钥交换(InternetKeyExchange,IKE)是一种为IPSec管理和交换密钥的标准方法。

精彩文档.

实用标准文案

一旦两个对等端之间的IKE协商取得成功,那么IKE就创建到远程对等端的安全关联(security

association,SA)。

SA是单向的;在两个对等端之间存在两

个SA。

IKE使用UDP端口500进行协商,确保端口500不被阻塞。

配置

1、(可选)启用或者禁用IKE

(global)cryptoisakmpenable

或者

(global)nocryptoisakmpenable

默认在所有接口上启动IKE

2、创建IKE策略

(1)定义策略

(global)cryptoisakmppolicypriority

注释:

policy1表示策略1,假如想多配几个VPN,可以写成policy2、policy3┅

(2)(可选)定义加密算法

(isakmp)encryption{des|3des}

加密模式可以为56位的DES-CBC(des,默认值)或者168位的3DES(3des)

精彩文档.

实用标准文案

(3)(可选)定义散列算法

(isamkp)hash{sha|md5}

默认sha

(4)(可选)定义认证方式

(isamkp)authentication{rsa-sig|rsa-encr|pre-share}

rsa-sig要求使用CA并且提供防止抵赖功能;默认值

rsa-encr不需要CA,提供防止抵赖功能

pre-share通过手工配置预共享密钥

(5)(可选)定义Diffie-Hellman标识符

(isakmp)group{1|2}

注释:

除非购买高端路由器,或是VPN通信比较少,否则最好使用

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 经管营销 > 人力资源管理

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1