返回
Cisco路由器实现IPSEC VPN配置

Cisco路由器实现IPSEC VPN配置

ID:43841778

大小:67.97 KB

页数:5页

时间:2019-10-15

Cisco路由器实现IPSEC VPN配置_第1页
Cisco路由器实现IPSEC VPN配置_第2页
Cisco路由器实现IPSEC VPN配置_第3页
Cisco路由器实现IPSEC VPN配置_第4页
Cisco路由器实现IPSEC VPN配置_第5页
资源描述:

《Cisco路由器实现IPSEC VPN配置》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、Cisco路由器实现IPSECVPN配置(站点到站点) 目标 a.分公司172.16.10.0/24,网络的主机可以通过VPN访问总部服务器10.10.33.0/24,但不能访问Internetb.分公司的其它客户端(172.16.0.0/24)可以访问Internet实验设备1、Cisco路由器(IOS为12.4)2、客户机3台,IP地址,见拓扑图,F0/0连接外网 实验步骤 R1上的配置Router(config)#hostnameR1R1(config)#intf0/0R1(config-if)#ipadd100.0.0.1255.255.255.0R1(config-if)#

2、noshR1(config-if)#intf0/1R1(config-if)#ipadd172.16.10.254255.255.255.0R1(config-if)#nosh //配置默认路由R1(config-if)#iproute0.0.0.00.0.0.0100.0.0.2 在IPSEC中,IKE被用来自动协商SA和密钥,如果被关闭用cryptoisakmpenable启用R1(config)#cryptoisakmppolicy1     //建立IKE协商策略,编号为1R1(config-isakmp)#encryption3des    //设置加密使用的算法为3DES

3、R1(config-isakmp)#hashsha    //设置密钥认证的算法为shaR1(config-isakmp)#authenticationpre-share     //告诉router要先使用预共享密钥,手工指定R1(config-isakmp)#group2   R1(config-isakmp)#lifetime10000 //声明SA的生存时间为10000,超过后SA将重新协商R1(config-isakmp)#exitR1(config)#cryptoisakmpkey0testaddress100.0.0.2//设置加密密钥为test,要求二端的密码相匹配,

4、和对端地址(总部Router地址) 配置访问控制列表注意:1.当一个路由器接收到发往另一个路由器的内部网络报文时,IPSEC被启动,访问列表被用于确定哪些业务 将启动IKE和IPSEC协商2.Crypto访问控制列表必须是互为镜像的,如:R1加密了所有流向R2的TCP流量,则R2必须加密流回R1的所有TCP流量R1(config)#access-list 100 permitip 172.16.10.00.0.0.255 10.10.33.00.0.0.255//定义从172.16.10.0网络发往10.10.33.0的报文全部加密 //配置IPSEC传输模式,用于定义VPN隧道的认

5、证类型,完整性与负载加密 R1(config)#cryptoipsectransform-set vpn-set esp-desah-sha-hmacR1(cfg-crypto-trans)#modetunnel//可选R1(cfg-crypto-trans)#exitR1(config)#cryptoipsecsecurity-associationlifetimeseconds1800 //定义生存周期1800秒 //配置cayptmap(加密映射)R1(config)#cryptomap test-map 1ipsec-isakmp//创建cryptomap//IPSEC-IS

6、AKMP表示采用自动协调,名为test-map,编号1为优先级,越小优先级越高R1(config-crypto-map)#setpeer100.0.0.2 //设定cryptomap所对应的VPN链路对端IPR1(config-crypto-map)#settransform-set vpn-set //指定cryptomap所使用传输模式名R1(config-crypto-map)#matchaddress 100 //指定此cryptomap使用的访问控制列表R1(config-crypto-map)#exit //将映射应用到对应的接口上,VPN就可生效了R1(config)#

7、intf0/0R1(config-if)#cryptomap test-map //配置PATR1(config)#access-list1deny172.16.10.00.0.0.255 //研发部不能访问InternetR1(config)#access-list1permit172.16.0.00.0.255.255 //其它部门可以访问InternetR1(config)#ipnat inside sourcelist1interfacef0/0 

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。