VPN配置实践专题Word文档下载推荐.docx

VPN配置实践专题Word文档下载推荐.docx

《VPN配置实践专题Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《VPN配置实践专题Word文档下载推荐.docx（29页珍藏版）》请在冰豆网上搜索。

IPSecVPN才能正常建立:

步骤:

1:

配置路由:

确保链路的可达性:

配置IPSecVPN的Parse1:

==>

R1:

R1（config）#access-list101permitiphost192.168.1.10host192.168.2.10 

:

定义感兴趣流量

R1（config）#cryptoisakmppolicy10 

:

定义ISAKMP的策略:

指定认证/加密类型

R1（config-isakmp）#authenticationpre-share

R1（config-isakmp）#encryptiondes

R1（config-isakmp）#group2

R1（config-isakmp）#hashmd5

R1（config-isakmp）#lifetime1000

R1（config-isakmp）#exit

R1（config）#cryptoisakmpkey6ciscoadd2.2.2.3 

指定Pre-shared-key:

R3:

R3（config）#access-list101permitiphost192.168.2.10host192.168.1.10

R3（config）#cryptoisakmppolicy10

R3（config-isakmp）#authenpre

R3（config-isakmp）#encrydes

R3（config-isakmp）#group2

R3（config-isakmp）#hashmd5

R3（config-isakmp）#lifetime1000

R3（config-isakmp）#exit

R3（config）#cryptoisakmpkey6ciscoadd1.1.1.1

配置IPSecVPN的Parse2:

R1（config）#cryptoipsectransform-setTSesp-desesp-md5-hmac 

定义Transform-set:

指定IPSec的封装类型和传输模式

R1（cfg-crypto-trans）#modetunnel

R1（config）#cryptomapMYMAP10ipsec-isakmp 

定义加密映射:

指定IPSecVPN的各种参数

%NOTE:

Thisnewcryptomapwillremaindisableduntilapeerandavalidaccesslisthavebeenconfigured. 

提示:

指明需要感兴趣流量

R1（config-crypto-map）#setpeer2.2.2.3

R1（config-crypto-map）#matchadd101 

R1（config-crypto-map）#settransform-setTS

R1（config-crypto-map）#exit

R1（config）#intf0/0

R1（config-if）#cryptomapMYMAP 

接口下调用crypto-map

R1（config-if）#end

R1#

*Mar1116:

34:

12.939:

%CRYPTO-6-ISAKMP_ON_OFF:

ISAKMPisON 

提示接口上已经启用ISAKMP:

R3（config）#cryptoipsectransform-setTSesp-desesp-md5-hmac

R3（cfg-crypto-trans）#modetunnel

R3（config）#cryptomapMYMAP10ipsec-isakmp

R3（config-crypto-map）#setpeer1.1.1.1

R3（config-crypto-map）#settransform-setTS

R3（config-crypto-map）#matchadd101

R3（config-crypto-map）#exit

R3（config）#intf1/0

R3（config-if）#cryptomapMYMAP

R3（config-if）#END

4：

PC1PINGPC2发包测试:

IPSecVPN必须要有感兴趣流量进行触发:

R1#ping192.168.2.10source192.168.1.10repeat5 

!

5:

如果R2上对数据流做了限制:

此时我们应该放行哪些流量:

才不至于对IPSecVPN造成影响:

R2（config）#ipaccess-listextendedIPSEC

R2（config-ext-nacl）#permitudphost2.2.2.3host1.1.1.1eq500 

放行UDP:

500D的流量:

用于ISAKMP的协商

R2（config-ext-nacl）#permitesphost2.2.2.3host1.1.1.1 

放行ESP的加密数据:

查看IP的协议字段:

51:

R2（config-ext-nacl）#denyipanyany

如果不放行UDP:

500,那么R1/R3的IPSecVPN将协商失败:

*Mar1117:

20:

54.643:

ISAKMP0:

0:

N/A:

0）:

beginningMainModeexchange

54.647:

sendingpacketto2.2.2.3my_port500peer_port500（I）MM_NO_STATE.....

注意:

由于路由器接收不到回包,将停留在Phrase1的第一个Message:

如果只放行UDP:

500那么IKE/IPSecSA是可以协商建立的:

R1#showcryptoengineconnectionsactive

ID 

Interface 

IP-Address 

State 

Algorithm 

Encrypt 

Decrypt

1 

FastEthernet0/0 

1.1.1.1 

set 

HMAC_MD5+DES_56_CB 

0 

2001 

DES+MD5 

8 

2002 

0 

此时R1/R3:

的IPSecVPN已经成功协商建立:

通过查看IPSecSA的概要信息:

发现加解密的数据包是不一样的,99%的原因是路由问题（包括ACL造成的链路连通性）

6:

由5可知ISAKMP/ESP这两种协议是必须的放的:

那是否还需要放行其他的协议呢?

R1（config）#ipaccess-listextendedIPSec

R1（config-ext-nacl）#10permitesphost2.2.2.3host1.1.1.1

R1（config-ext-nacl）#20permitudphost2.2.2.3host1.1.1.1eqisakmp

R1（config-ext-nacl）#30denyipanyany

经过实验和询问得知:

12.4以前,必须放行解密后的流量:

R1（config-ext-nacl）#permithost192.168.2.10host192.168.1.10

12.4以后,是不需要放行解密后的流量:

链路两端就是通的

IPSecVPN专题二：

Dynamicmap

环境：

R1为固定公网IP地址

2：

R3为拨号上网：

获得的动态的公网IP

需求：

R1和R3之间如何建立IPSecVPN:

涉及知识点：

1

ynamicMap（条件必须有一方是静态的IP地址）

2

eer的指定:

步骤：

R3上的IPSec配置：

R3上Phase1配置:

R3（config-isakmp）#authenticationpre-shared

R3（config-isakmp）#lifetime3600

R3（config）#cryptoisakmpkeyciscoadd1.1.1.1

R3上Phase2配置:

R3（cfg-crypto-trans）#exit

R3（config-crypto-map）#matchaddress110

R3（config）#access-list110p