用cisco路由器实现VPN实例配置方案设计设计文档格式.docx
《用cisco路由器实现VPN实例配置方案设计设计文档格式.docx》由会员分享,可在线阅读,更多相关《用cisco路由器实现VPN实例配置方案设计设计文档格式.docx(17页珍藏版)》请在冰豆网上搜索。
version12.2
servicetimestampsdebuguptime
servicetimestampsloguptime
noservicepassword-encryption
hostnamesam-i-am
ipsubnet-zero
---IKE配置
sam-i-am(config)#cryptoisakmppolicy1//定义策略为1
sam-i-am(isakmp)#hashmd5//定义MD5散列算法
sam-i-am(isakmp)#authenticationpre-share//定义为预共享密钥认证方式
sam-i-am(config)#cryptoisakmpkeycisco123address0.0.0.00.0.0.0
精彩文档.
---配置预共享密钥为cisco123,对等端为所有IP
---IPSec协议配置
sam-i-am(config)#cryptoipsectransform-setrtpsetesp-desesp-md5-hmac
---创建变换集esp-desesp-md5-hmac
sam-i-am(config)#cryptodynamic-maprtpmap10//创建动态保密图rtpmap10
san-i-am(crypto-map)#settransform-setrtpset//使用上面的定义的变换集rtpset
san-i-am(crypto-map)#matchaddress115//援引访问列表确定受保护的流量
sam-i-am(config)#cryptomaprtptrans10ipsec-isakmpdynamicrtpmap
---将动态保密图集加入到正规的图集中
interfaceEthernet0
ipaddress10.2.2.3255.255.255.0
noipdirected-broadcast
ipnatinside
nomopenabled
interfaceSerial0
ipaddress99.99.99.1255.255.255.0
ipnatoutside
cryptomaprtptrans//将保密映射应用到S0接口上
ipnatinsidesourceroute-mapnonatinterfaceSerial0overload
---这个NAT配置启用了路由策略,内容为10.2.2.0到10.1.1.0的访问不进行地址翻译
---到其他网络的访问都翻译成SO接口的IP地址
ipclassless
iproute0.0.0.00.0.0.0Serial0//配置静态路由协议
noiphttpserver
access-list115permitip10.2.2.00.0.0.25510.1.1.00.0.0.255
access-list115denyip10.2.2.00.0.0.255any
access-list120denyip10.2.2.00.0.0.25510.1.1.00.0.0.255
access-list120permitip10.2.2.00.0.0.255any
sam-i-am(config)#route-mapnonatpermit10//使用路由策略
sam-i-am(router-map)#matchipaddress120
linecon0
transportinputnone
lineaux0
linevty04
passwordww
login
end
dr_whoovie(VPNClient)
servicetimestampsloguptime
hostnamedr_whoovie
dr_whoovie(config)#cryptoisakmppolicy1//定义策略为1
dr_whoovie(isakmp)#hashmd5//定义MD5散列算法
dr_whoovie(isakmp)#authenticationpre-share//定义为预共享密钥认证方式
dr_whoovie(config)#cryptoisakmpkeycisco123address99.99.99.1
---配置预共享密钥为cisco123,对等端为服务器端IP99.99.99.1
dr_whoovie(config)#cryptoipsectransform-setrtpsetesp-desesp-md5-hmac
dr_whoovie(config)#cryptomaprtp1ipsec-isakmp
---使用IKE创建保密图rtp1
dr_whoovie(crypto-map)#setpeer99.99.99.1//确定远程对等端
dr_whoovie(crypto-map)#settransform-setrtpset//使用上面的定义的变换集rtpset
dr_whoovie(crypto-map)#matchaddress115//援引访问列表确定受保护的流量
ipaddress10.1.1.1255.255.255.0
ipaddressnegotiated//IP地址自动获取
encapsulationppp//S0接口封装ppp协议
noipmroute-cache
noiproute-cache
cryptomaprtp//将保密映射应用到S0接口上
---这个NAT配置启用了路由策略,内容为10.1.1.0到10.2.2.0的访问不进行地址翻译
access-list115permitip10.1.1.00.0.0.25510.2.2.00.0.0.255
access-list115denyip10.1.1.00.0.0.255any
access-list120denyip10.1.1.00.0.0.25510.2.2.00.0.0.255
access-list120permitip10.1.1.00.0.0.255any
dialer-list1protocolippermit
dialer-list1protocolipxpermit
route-mapnonatpermit10//使用路由策略
matchipaddress120
实用标准文案transportinputnone
----------------配置-----------IKE
ecVPN对等端为了建立信任关系,必须交换某种形式的认证密钥。
IPSInternet密钥交换(InternetKeyExchange,IKE)是一种为IPSec管理和交换密钥的标准方法。
一旦两个对等端之间的IKE协商取得成功,那么IKE就创建到远程对等端的安全关联(security
association,SA)。
SA是单向的;
在两个对等端之间存在两
个SA。
IKE使用UDP端口500进行协商,确保端口500不被阻塞。
配置
1、(可选)启用或者禁用IKE
(global)cryptoisakmpenable
或者
(global)nocryptoisakmpenable
默认在所有接口上启动IKE
2、创建IKE策略
(1)定义策略
(global)cryptoisakmppolicypriority
注释:
policy1表示策略1,假如想多配几个VPN,可以写成policy2、policy3┅
(2)(可选)定义加密算法
(isakmp)encryption{des|3des}
加密模式可以为56位的DES-CBC(des,默认值)或者168位的3DES(3des)
(3)(可选)定义散列算法
(isamkp)hash{sha|md5}
默认sha
(4)(可选)定义认证方式
(isamkp)authentication{rsa-sig|rsa-encr|pre-share}
rsa-sig要求使用CA并且提供防止抵赖功能;
默认值
rsa-encr不需要CA,提供防止抵赖功能
pre-share通过手工配置预共享密钥
(5)(可选)定义Diffie-Hellman标识符
(isakmp)group{1|2}
除非购买高端路由器,或是VPN通信比较少,否则最好使用