返回
vpn-7路由器站点到站点的链接

vpn-7路由器站点到站点的链接

ID:44271909

大小:181.50 KB

页数:14页

时间:2019-10-20

vpn-7路由器站点到站点的链接_第1页
vpn-7路由器站点到站点的链接_第2页
vpn-7路由器站点到站点的链接_第3页
vpn-7路由器站点到站点的链接_第4页
vpn-7路由器站点到站点的链接_第5页
资源描述:

《vpn-7路由器站点到站点的链接》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、路由器站点到站点的链接isakmp/ike阶段2的配置1.定义被保护的流量(定义要走IPSEC隧道的流量)A,B路由器上的定义a#shipaccess-listshssjExtendedIPaccesslisthssj10permitip192.168.1.00.0.0.255192.168.2.00.0.0.2552.定义流量如何被保护a(config)#cryptoipsectransform-setciscoesp-sha-hmaca#showcryptoipsectransform-set两边都要输入3.

2、定义流量转发给谁构建cryptomap条目:静态map和动态map作用:定义被保护的流量,定义流量如何被保护,定义流量转发给谁cryptoipsectransform-setciscoesp-desesp-sha-hmacaccess-list101permitip10.1.1.00.0.0.25510.1.2.00.0.0.255cryptomapcisco10ipsec-isakmp(10代表的是优先级的序号,号码越低越优先范围1——65535)setpeer172.16.171.20(制定路由器应该与谁链接

3、iphost主机表也可以)settransform-setcisco(定义传输集的名字,可以最多定义6个传输集)setpfs(可选,接收完美转发密钥PFS)matchaddress101(调用被保护的流量)a(config)#cryptoipsecsecurity-associationlifetime定义生存周期a(config)#cryptoipsecsecurity-associationidle-time定义超时删除4.激活cryptomapa(config-if)#cryptomapfxh5。查看cry

4、ptomapa#shcryptomap例子实验(站点到站点的VPN)Router1:iproute0.0.0.00.0.0.0172.16.171.20Router2:iproute0.0.0.00.0.0.0172.16.171.10IKEPhaseIpolicyRouter1:cryptoisakmppolicy1authenticationper-sharedhashmd5encr3desgroup2cryptoisakmpkeyciscoaddress172.16.171.20Router2:crypto

5、isakmppolicy1authenticationpre-sharedhashmd5encr3desgroup2cryptoisakmpkeyciscoaddress172.16.171.10IPSecPhaseIIpolicyRouter1:cryptoipsectransform-setciscoesp-desesp-sha-hmacaccess-list101permitip10.1.1.00.0.0.25510.1.2.00.0.0.255cryptomapcisco10ipsec-isakmpset

6、peer172.16.171.20settransform-setciscosetpfsmatchaddress101Router2:cryptoipsectransform-setciscoesp-desesp-sha-hmacaccess-list101permitip10.1.2.00.0.0.25510.1.1.00.0.0.255cryptomapcisco10ipsec-isakmpsetpeer172.16.171.10settransform-setciscosetpfsmatchaddress1

7、01ApplyVPNConfigurationRouter1:interfaces0cryptomapciscoRouter2:interfaces0cryptomapcisco构建一个动态的cryptomap静态的必须知道对方的IP地址,我们可以动态的调用他们,但是这个技术最好是应用在remote的vpn当中需要注意的是:需要用对方的名称来定位预共享密钥动态是指一些需要手动配置的资料可以通过协商来补充进来使用动态cryptomap需要:1.使用isakmp/IKE发起协商2.两端,一端是动态,另外一端是静态建立

8、一个动态的cryptomapRouter(config)#cryptodynamic-mapfxh1r1(config-crypto-map)#settransform-set上面这条命令是必须的,其他的都是可选的r1#shcryptodynamic-maptaghssjCryptoMapTemplate"hssj"1Nomatchingaddresslistset.Cu

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。