2022年Cisco路由器实现IPSECVPN配置 .pdf
《2022年Cisco路由器实现IPSECVPN配置 .pdf》由会员分享,可在线阅读,更多相关《2022年Cisco路由器实现IPSECVPN配置 .pdf(5页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、Cisco 路由器实现IPSEC VPN 配置(站点到站点)目标a.分公司 172.16.10.0/24,网络的主机可以通过VPN访问总部服务器10.10.33.0/24,但不能访问Internet b.分公司的其它客户端(172.16.0.0/24)可以访问 Internet 实验设备1、Cisco路由器(IOS为 12.4)2、客户机3 台,IP地址,见拓扑图,F0/0 连接外网实验步骤R1 上的配置Router(config)#hostname R1 R1(config)#int f0/0 R1(config-if)#ip add 100.0.0.1 255.255.255.0 R1(c
2、onfig-if)#no sh R1(config-if)#int f0/1 R1(config-if)#ip add 172.16.10.254 255.255.255.0 R1(config-if)#no sh/配置默认路由R1(config-if)#ip route 0.0.0.0 0.0.0.0 100.0.0.2 在 IPSEC中,IKE被用来自动协商SA和密钥,如果被关闭用crypto isakmp enable启用名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共 5 页 -R1(config)#crypto isakmp policy 1 /建立 IKE协商策略,编号
3、为1R1(config-isakmp)#encryption 3des /设置加密使用的算法为3DESR1(config-isakmp)#hash sha /设置密钥认证的算法为shaR1(config-isakmp)#authentication pre-share /告诉 router 要先使用预共享密钥,手工指定R1(config-isakmp)#group 2 R1(config-isakmp)#lifetime 10000/声明 SA的生存时间为10000,超过后SA将重新协商R1(config-isakmp)#exit R1(config)#crypto isakmp key 0
4、test address 100.0.0.2/设置加密密钥为test,要求二端的密码相匹配,和对端地址(总部 Router地址)配置访问控制列表注意:1.当一个路由器接收到发往另一个路由器的内部网络报文时,IPSEC 被启动,访问列表被用于确定哪些业务将启动 IKE和 IPSEC协商2.Crypto访问控制列表必须是互为镜像的,如:R1加密了所有流向R2 的 TCP流量,则R2必须加密流回R1的所有 TCP流量R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255/定义从 172.16.10
5、.0 网络发往 10.10.33.0 的报文全部加密/配置 IPSEC传输模式,用于定义VPN 隧道的认证类型,完整性与负载加密R1(config)#crypto ipsec transform-set vpn-set esp-des ah-sha-hmac R1(cfg-crypto-trans)#mode tunnel/可选R1(cfg-crypto-trans)#exit R1(config)#crypto ipsec security-association lifetime seconds 1800/定义生存周期1800 秒/配置 caypt map(加密映射)R1(config)#
6、crypto map test-map 1 ipsec-isakmp/创建 crypto map/IPSEC-ISAKMP表示采用自动协调,名为test-map,编号 1 为优先级,越小优先级越高R1(config-crypto-map)#set peer 100.0.0.2/设定 crypto map所对应的 VPN 链路对端 IPR1(config-crypto-map)#set transform-setvpn-set/指定 crypto map所使用传输模式名R1(config-crypto-map)#match address100/指定此 crypto map使用的访问控制列表R1
7、(config-crypto-map)#exit/将映射应用到对应的接口上,VPN 就可生效了R1(config)#int f0/0 R1(config-if)#crypto map test-map 名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页,共 5 页 -/配置 PATR1(config)#access-list 1 deny 172.16.10.0 0.0.0.255/研发部不能访问InternetR1(config)#access-list 1 permit 172.16.0.0 0.0.255.255/其它部门可以访问InternetR1(config)#ipnat i
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022年Cisco路由器实现IPSECVPN配置 2022 Cisco 路由器 实现 IPSECVPN 配置
限制150内