欢迎来到天天文库
浏览记录
ID:39799419
大小:34.50 KB
页数:11页
时间:2019-07-11
《Cisco 路由器上手工方式VPN的实现》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、Cisco路由器上手工方式VPN的实现Cisco路由器上VPN的实现: 1、软件要求: 需要ENTERPRISEPLUSIPSEC56的IOS,目前使用的比较稳定版本是12.07T 2、硬件要求: 8MBFlashand40MBRAM 在DownloadIOS版本时,会提示所Download的IOS版本 的软硬件要求。 3、IPSec手工方式的注意事项: (1)加密通道一旦建立,就不再断开 (2)ManualKey不提供anti-replay的功能 (3)在ManualKey方
2、式时,access-list中只有1条permit起作用,其他都被忽略。 (4)在ManualKey方式下,两边的transformset的名字必须一样。 4、VPN手工方式需要的主要命令: (1)access-list 设置access-list,有对符合什么样条件的IP包进行加密。11 (2)cryptoisakmp 默认是使用cryptoisakmp方式,所以在手工方式下,需要禁止此选项。 (3)cryptoipsec 配置IPSec的加密方式,选择manual方式 (4)
3、cryptomap 配置IPSec的加密方式 a)setpeer 设置远程VPN网关 b)setsecurity-association 设置安全联盟,主要有inbound和outbound c)settransform-set 设置加密形式 d)matchaddress 对匹配access-list的进行加密。 5、VPN的手工实现方式: (1)配置access-list,对哪些包建立VPN连接。 access-list101permitiphost192.168.0.1
4、host 192.168.1.1 (2)取消VPN的自动协商方式11 nocryptoisakmpenable (3)建立一个IPSec的封装方式—两边的路由器需要一样的名称。在举例中是encry-des cryptoipsectransform-setencry-desesp-des (4)建立一个VPN连接需要的各种条件—这里是ipsec-manual方式 cryptomapvpntest8ipsec-manual (5)在上一步用cryptomap进入crypto配置模式
5、a)配置远程的VPN网关 setpeer202.106.185.2 b)配置进出的安全联盟 setsecurity-associationinboundesp1000cipher21authenticator01 配置入境联盟加密方式顺序号 setsecurity-associationoutboundesp1001cipher12authenticator01 c)设置IPSec的加密方式 settransform-setencry-des11 d)对匹配地址进行加密 matc
6、haddress101 (6)在路由器外部网口上绑定加密方式 inte0/1 ipaddr202.106.185.1255.255.255.0 cryptomapvpntest 6、注意事项 (1)在两端的access-list要互为相反,如在A路由器上写: access-list101permitiphost192.168.0.1host192.168.1.1 则在B路由器上写: access-list101permitiphost192.168.1.1host192.168.
7、0.1 (2)在两端的transformset名称要一致 如都写cryptoipsectransform-setencry-desesp-des11 (3)在一端的inbound就是应该相反。另一端的outboud,一端的outbound是另一端的inboud。因此他们的序列好 如在A路由器上写: setsecurity-associationinboundesp1000cipher21authenticator01 setsecurity-associationoutboundesp
8、1001cipher12authenticator01 则在B路由器上写: setsecurity-associationinboundesp1001cipher12authenticator01 setsecurity-associationoutboundesp1000cipher21aut11henticator01 (4)总之在使用手工方式时,在两端的配置应该尽量一样或相对。 7、应用条件 我认为在路由器上做VPN主要有以下几种应用: (1)可以使用在电信中二
此文档下载收益归作者所有