非常详细的IPsec-VPN实验配置解说.doc

非常详细的IPsec-VPN实验配置解说.doc

ID:55537508

大小:56.00 KB

页数:11页

时间:2020-05-16

非常详细的IPsec-VPN实验配置解说.doc_第1页
非常详细的IPsec-VPN实验配置解说.doc_第2页
非常详细的IPsec-VPN实验配置解说.doc_第3页
非常详细的IPsec-VPN实验配置解说.doc_第4页
非常详细的IPsec-VPN实验配置解说.doc_第5页
资源描述:

《非常详细的IPsec-VPN实验配置解说.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、IPsecVPN第一阶段:配置策略IsakmpSACryptoisakmppolicy10//定义策略,且优先级为10Encryptiondes//数据的保密性配置Hashmd5//数据的完整性配置Authenticationpre-share//身份的验证方为预共享密钥(另外一种是数字签名)Group2//密钥长度为1024bitLifetime86400//配置ISAKMP建立的SA的寿命ExitCryptoisakmpkeywtuwiejfaddress192.168.1.1//配置预共享密钥的密钥为:wtuwiejf,远程对等体的IP地址为192.168.1

2、.1(验证对方的IP)注:可通过showcryptoisakmppolicy来查看刚才配置的内容Access-list100permitiphost192.168.1.1host192.168.2.1//定义感兴趣流量//有了ACK定义的流量,才有第二阶段的策略可做,加密策略,哈希策略,隧道模式。注:传输模式默认为隧道传输模式。第二阶段:配置第二阶段的策略,名称叫做转换集。是对感兴趣流做封装加密策略。Cryptoipsectransform-setciscoesp-desesp-md5-hmac//transform-set:转换集//cisco:转换集的名称//e

3、sp-des:用ESP做封装,用des做加密//esp-md5-hmac:用ESP封装,用MD5做哈希//作用:对感兴趣流用ESP封装,用DES做加密;用ESP做封装,用MD5做哈唏。CryptomapLAXDN10ipsec-isakmp//对第二阶段的策略做汇总。因为一台路由器可能不止做一个VPN,有可能和很多路由器做VPN。也就是有很多个第二阶段的策略。所以说,这里是定义了一个加密图,是为了将策略汇总。当有很多个第二阶段策略时,只需要配置多个mapid就可以了。然后就根据MAPID来执行任务。。而不用定义多个map(注意:一个端口只能配置一个map,从而将多个

4、策略汇总到一个MAP中,然后在端口中调用MAP。就可以起到节省端口的作用,对吧!)。即:cryptomapyujianwei110ipsec-isakmpcryptomapyujianwei220ipsec-isakmpcryptomapyujianwei330ipsec-isakmpcryptomapyujianwei440ipsec-isakmpSetpeer192.168.1.1//配置对等体的要加密的地址Settransform-setcisco//对第二阶段的转换集进行汇总Matchaddress100//调用ACL100R(config-if)#cryp

5、tomapLAXDN//调用cryptomap(加密图)策略到接口上因为一个端口只能配置一个MAP,但是如果一台路由器要做很多VPN,那么此时如果用MAP就不用来很多端口,而只要用到一个MAP就可以。一台路由器和不同的VPN连接,只需要MAPID就可以了。IPSECVPN实验详解由于Internet宽带接入的普及,它的带宽与价格非常的便宜(相对于专线而言).8M的ADSL价位不到两千元/年.越来越多的企业开始发掘基于宽带接入的增值应用.由于VPN技术的成熟,如对数据的加密技术与VPNQos技术的发展,使得基于Internet接入的VPN应用日趋增多.  VPN技术可

6、用于远程用户的接入(用于取代传统拨号接入技术)访问,用于对主线路的备份作为备份链路,甚至可以取代传统的专线地位用于企业各分支机构的专有网络互联.  用于取代专线或备份线路接入的Site-to-SiteVPN接入技术,用于远程终端用户接入访问的Remote-VPN(也叫EasyVPN,取代传统拨号接入).  基于WEB页面访问的WEBVPN技术.又叫SSLVPN.  1.Site-to-sitevpn(三种类型)  站点间的VPN技术.IKE使用UDP端口500,IpsecESP和AH使用协议号50和51.因此如果要实现VPN穿越,必须在相应接口上配置访问列表以允许V

7、PN流量通过。  Site-to-SiteVPN的配置通常可分为四个步骤:  1.传统路由及需互访的流量定义  定义路由设置  感兴趣的流量(即定义互访的内网主机流量以触发VPN参数协商)  2.定义IKE参数(IKE第一阶段安全关联协商)  定义ISAKMP策略  定义ISAKMP对等体和验证密钥  3.定义Ipsec参数(IKE第二阶段安全关联协商)  定义Ipsec的转换集Transform  定义Ipsec的加密映射(cryptomap)。  4.将加密映射应用到相应接口。  当路由器收到一个数据包时,它将检查安全策略(即所定义的感兴趣的流量)以决定是否

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。