ImageVerifierCode 换一换
格式:DOCX , 页数:29 ,大小:33.70KB ,
资源ID:2894693      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/2894693.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(VPN配置实践专题.docx)为本站会员(b****3)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

VPN配置实践专题.docx

1、VPN配置实践专题VPN 专题IPSec VPN专题一:Site-to-Stie VPN环境:R1/R2/R3:运行IGP:RIP需求:1:PC1 到 PC2 的流量通过IPSec 加密传输:2:如果在R2 :deny ip any any :那么R2在这之上应该放行哪些流量,才不会影响IPSec VPN的建立:3:如果在R1(加密点)上Deny ip any any :此时R1需要放行哪些流量:IPSec VPN 才能正常建立:步骤:1:R1/R2/R3:配置路由:确保链路的可达性:2:配置IPSec VPN的Parse 1 :=R1:R1(config)#access-list 101 p

2、ermit ip host 192.168.1.10 host 192.168.2.10 :定义感兴趣流量R1(config)#crypto isakmp policy 10 :定义ISAKMP的策略:指定认证/加密类型R1(config-isakmp)#authentication pre-share R1(config-isakmp)#encryption desR1(config-isakmp)#group 2 R1(config-isakmp)#hash md5R1(config-isakmp)#lifetime 1000R1(config-isakmp)#exitR1(config)

3、#crypto isakmp key 6 cisco add 2.2.2.3 :指定Pre-shared-key:=R3:R3(config)#access-list 101 permit ip host 192.168.2.10 host 192.168.1.10R3(config)#crypto isakmp policy 10R3(config-isakmp)#authen preR3(config-isakmp)#encry desR3(config-isakmp)#group 2R3(config-isakmp)#hash md5R3(config-isakmp)#lifetime

4、1000R3(config-isakmp)#exitR3(config)#crypto isakmp key 6 cisco add 1.1.1.13:配置IPSec VPN的Parse 2 :R1(config)#crypto ipsec transform-set TS esp-des esp-md5-hmac :定义Transform-set :指定IPSec 的封装类型和传输模式R1(cfg-crypto-trans)#mode tunnel R1(config)#crypto map MYMAP 10 ipsec-isakmp :定义加密映射:指定IPSec VPN的各种参数% NO

5、TE: This new crypto map will remain disabled until a peer and a valid access list have been configured.:提示:指明需要感兴趣流量R1(config-crypto-map)#set peer 2.2.2.3 R1(config-crypto-map)#match add 101 R1(config-crypto-map)#set transform-set TSR1(config-crypto-map)#exitR1(config)#int f0/0R1(config-if)#crypto m

6、ap MYMAP :接口下调用crypto-mapR1(config-if)#endR1#*Mar 11 16:34:12.939: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON :提示接口上已经启用ISAKMP:R3(config)#crypto ipsec transform-set TS esp-des esp-md5-hmac R3(cfg-crypto-trans)#mode tunnel R3(config)#crypto map MYMAP 10 ipsec-isakmp R3(config-crypto-map)#set peer 1.1.1.1R

7、3(config-crypto-map)#set transform-set TSR3(config-crypto-map)#match add 101R3(config-crypto-map)#exitR3(config)#int f1/0R3(config-if)#crypto map MYMAPR3(config-if)#END4:PC1 PING PC2 发包测试:IPSec VPN必须要有感兴趣流量进行触发:R1#ping 192.168.2.10 source 192.168.1.10 repeat 5 !5:如果R2上对数据流做了限制:此时我们应该放行哪些流量:才不至于对IPSe

8、c VPN 造成影响:R2(config)#ip access-list extended IPSEC R2(config-ext-nacl)#permit udp host 2.2.2.3 host 1.1.1.1 eq 500 :放行UDP:500D的流量:用于ISAKMP的协商R2(config-ext-nacl)#permit esp host 2.2.2.3 host 1.1.1.1 :放行ESP的加密数据:查看IP的协议字段:51:R2(config-ext-nacl)#deny ip any any=如果不放行UDP:500 ,那么R1/R3的IPSec VPN 将协商失败:*M

9、ar 11 17:20:54.643: ISAKMP0:0:N/A:0): beginning Main Mode exchange*Mar 11 17:20:54.647: ISAKMP0:0:N/A:0): sending packet to 2.2.2.3 my_port 500 peer_port 500 (I) MM_NO_STATE.注意:由于路由器接收不到回包 , 将停留在Phrase 1 的第一个Message:=如果只放行UDP:500 那么IKE/IPSec SA是可以协商建立的:R1#show crypto engine connections active ID Int

10、erface IP-Address State Algorithm EncryptDecrypt 1 FastEthernet0/0 1.1.1.1 set HMAC_MD5+DES_56_CB 0 0 2001 FastEthernet0/0 1.1.1.1 set DES+MD5 8 0 2002 FastEthernet0/0 1.1.1.1 set DES+MD5 0 0注意:此时R1/R3:的IPSec VPN已经成功协商建立:通过查看IPSec SA的概要信息:发现加解密的数据包是不一样的 , 99%的原因是路由问题(包括ACL造成的链路连通性)6:如果在R1(加密点)上Deny

11、ip any any :此时R1需要放行哪些流量:IPSec VPN 才能正常建立:由5可知ISAKMP/ESP这两种协议是必须的放的:那是否还需要放行其他的协议呢?R1(config)#ip access-list extended IPSecR1(config-ext-nacl)# 10 permit esp host 2.2.2.3 host 1.1.1.1R1(config-ext-nacl)# 20 permit udp host 2.2.2.3 host 1.1.1.1 eq isakmpR1(config-ext-nacl)# 30 deny ip any any经过实验和询问得

12、知:12.4以前 , 必须放行解密后的流量:R1(config)#ip access-list extended IPSecR1(config-ext-nacl)# permit host 192.168.2.10 host 192.168.1.1012.4以后 , 是不需要放行解密后的流量:链路两端就是通的IPSecVPN专题二:Dynamic map环境:1:R1为固定公网IP地址2:R3为拨号上网:获得的动态的公网IP需求:R1和R3之间如何建立IPSec VPN:涉及知识点:1ynamic Map (条件必须有一方是静态的IP地址)2eer的指定:步骤:1:R3上的IPSec配置:=R

13、3上Phase 1配置:R3(config)#crypto isakmp policy 10R3(config-isakmp)#authentication pre-sharedR3(config-isakmp)#encry desR3(config-isakmp)#hash md5R3(config-isakmp)#group 2R3(config-isakmp)#lifetime 3600R3(config-isakmp)#exitR3(config)#crypto isakmp key cisco add 1.1.1.1=R3上Phase 2配置:R3(config)#crypto ip

14、sec transform-set TS esp-des esp-md5-hmac R3(cfg-crypto-trans)#mode tunnel R3(cfg-crypto-trans)#exitR3(config)#crypto map MYMAP 10 ipsec-isakmp R3(config-crypto-map)#set peer 1.1.1.1R3(config-crypto-map)#set transform-set TSR3(config-crypto-map)#match address 110R3(config-crypto-map)#exitR3(config)#access-list 110 p

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1