非常详细的ipsecvpn实验配置解说

非常详细的ipsecvpn实验配置解说

ID:33917714

大小:67.78 KB

页数:11页

时间:2019-03-02

非常详细的ipsecvpn实验配置解说_第1页
非常详细的ipsecvpn实验配置解说_第2页
非常详细的ipsecvpn实验配置解说_第3页
非常详细的ipsecvpn实验配置解说_第4页
非常详细的ipsecvpn实验配置解说_第5页
资源描述:

《非常详细的ipsecvpn实验配置解说》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、IPsecVPN第一阶段:配置策略IsakmpSACryptoisakmppolicy10〃定义策略,且优先级为10Encryptiondes〃数据的保密性配置Hashmd5〃数据的完整性配置Authenticationpre-share〃身份的验证方为预共享密钥(另外一种是数字签名)Group2〃密钥长度为1024bitLifetime86400〃配置ISAKMP建立的SA的寿命ExitCryptoisakmpkeywtuwiejfaddress192.168.1.1〃配置预共享密钥的密钥为:wtuwiejf,远程对等体的IP地址为19

2、2.168.1.1(验证对方的IP)注:可通过showcryptoisakmppolicy来查看刚才配置的内容Access-list100permitiphost192.16host192.168.2.1〃定义感兴趣流量〃有了ACK定义的流量,才有第二阶段的策略可做,加密策略,哈希策略,隧道模式。注:传输模式默认为隧道传输模式。第二阶段:配置第二阶段的策略,名称叫做转换集。是对感兴趣流做封装加密策略。Cryptoipsectranstorm-setciscoesp-desesp-md5-hmac//transform-set:转换集//c

3、isco:转换集的名称//esp-des:用ESP做封装,用des做加密//esp-md5-hmac:用ESP封装,用MD5做哈希〃作用:对感兴趣流用ESP封装,用DES做加密;用ESP做封装,用MD5做哈唏。CryptomapLAXDN10ipsec-isakmp〃对第二阶段的策略做汇总。因为一台路由器可能不止做一个VPN,有可能和很多路由器做VPNo也就是有很多个第二阶段的策略。所以说,这里是定义了一个加密图,是为了将策略汇总。当有很多个第二阶段策略时,只需要配置多个mapid就可以了。然后就根据MAPID来执行任务。。而不用定义多个

4、map(注意:一个端口只能配置一个map,从而将多个策略汇总到一个MAP中,然后在端口中调用MAP。就可以起到节省端口的作用,对吧!)。即:cryptomapyujianweil10ipsec-isakmpcryptomapyujianwei220ipsec-isakmpcryptomapyujianwei330ipsec-isakmpcryptomapyujianwei440ipsec-isakmpSetpeer192.168.1.1〃配置对等体的要加密的地址Settransform-setcisco//对第二阶段的转换集进行汇总Mat

5、chaddress100〃调用ACL100R(config-if)#cryptomapLAXDN//调用cryptomap(加密图)策略到接口上因为一个端口只能配置一个MAP,但是如果一台路由器要做很多VPN,那么此时如果用MAP就不用来很多端口,而只要用到一个MAP就可以。一台路由器和不同的VPN连接,只需要MAPID就可以了。IPSECVPN实验详解由于Internet宽带接入的普及,它的带宽与价格非常的便宜(相对于专线而言).8M的ADSL价位不到两千元/年.越来越多的企业开始发掘基于宽带接入的增值应用.由于VPN技术的成熟,如对数

6、据的加密技术与VPNQos技术的发展,使得基于Internet接入的VPN应用日趋增多.VPN技术可用于远程用户的接入(用于取代传统拨号接入技术)访问,用于对主线路的备份作为备份链路,甚至可以取代传统的专线地位用于企业各分支机构的专有网络互联.用于取代专线或备份线路接入的Site-to-SiteVPN接入技术,用于远程终端用户接入访问的Remote-VPN(也叫EasyVPN,取代传统拨号接入).基于WEB页面访问的WEBVPN技术.又叫SSLVPN.1.Site-to-sitevpn(三种类型)站点间的VPN技术」KE使用UDP端口50

7、0JpsecESP和AH使用协议号50和51.因此如果要实现VPN穿越,必须在相应接口上配置访问列表以允许VPN流量通过。Site-to-SiteVPN的配置通常可分为四个步骤:1•传统路由及需互访的流量定义定义路由设置感兴趣的流量(即定义互访的内网主机流量以触发VPN参数协商)2.定义IKE参数(IKE第一阶段安全关联协商)定义ISAKMP策略定义ISAKMP对等体和验证密钥3.定义Ipsec参数(IKE第二阶段安全关联协商)定义Ipsec的转换集Transform定义Ipsec的加密映射(cryptomap)。4.将加密映射应用到相应

8、接口。当路由器收到一个数据包时,它将检查安全策略(即所定义的感兴趣的流量)以决定是否为此数据包提供保护。如果匹配访问列表所定义的流量,则路由器决定采用何种安全服务,并决定IPSEC端点所使用的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。