VPN的基本配置.docx
- 文档编号:12917733
- 上传时间:2023-04-22
- 格式:DOCX
- 页数:29
- 大小:58.25KB
VPN的基本配置.docx
《VPN的基本配置.docx》由会员分享,可在线阅读,更多相关《VPN的基本配置.docx(29页珍藏版)》请在冰豆网上搜索。
VPN的基本配置
VPN的基本配置
发布日期:
2004-5-11
浏览次数:
162270
VPN的基本配置[精]
作者:
yc_liang
2003-4-24
VPN的基本配置
工作原理:
一边服务器的网络子网为192.168.1.0/24
路由器为100.10.15.1
另一边的服务器为192.168.10.0/24
路由器为200.20.25.1。
执行下列步骤:
1.确定一个预先共享的密钥(保密密码)(以下例子保密密码假设为noIP4u)
2.为SA协商过程配置IKE。
3.配置IPSec。
配置IKE:
Shelby(config)#cryptoisakmppolicy1
注释:
policy1表示策略1,假如想多配几个VPN,可以写成policy2、policy3┅
Shelby(config-isakmp)#group1
注释:
除非购买高端路由器,或是VPN通信比较少,否则最好使用group1长度的密钥,group命令有两个参数值:
1和2。
参数值1表示密钥使用768位密钥,参数值2表示密钥使用1024位密钥,显然后一种密钥安全性高,但消耗更多的CPU时间。
Shelby(config-isakmp)#authenticationpre-share
注释:
告诉路由器要使用预先共享的密码。
Shelby(config-isakmp)#lifetime3600
注释:
对生成新SA的周期进行调整。
这个值以秒为单位,默认值为86400,也就是一天。
值得注意的是两端的路由器都要设置相同的SA周期,否则VPN在正常初始化之后,将会在较短的一个SA周期到达中断。
Shelby(config)#cryptoisakmpkeynoIP4uaddress200.20.25.1
注释:
返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址,即目的路由器IP地址。
相应地在另一端路由器配置也和以上命令类似,只不过把IP地址改成100.10.15.1。
配置IPSec
Shelby(config)#access-list130permitip192.168.1.00.0.0.255172.16.10.00.0.0.255
注释:
在这里使用的访问列表号不能与任何过滤访问列表相同,应该使用不同的访问列表号来标识VPN规则。
Shelby(config)#cryptoipsectransform-setvpn1ah-md5-hmacesp-desesp-md5-hmac
注释:
这里在两端路由器唯一不同的参数是vpn1,这是为这种选项组合所定义的名称。
在两端的路由器上,这个名称可以相同,也可以不同。
以上命令是定义所使用的IPSec参数。
为了加强安全性,要启动验证报头。
由于两个网络都使用私有地址空间,需要通过隧道传输数据,因此还要使用安全封装协议。
最后,还要定义DES作为保密密码钥加密算法。
Shelby(config)#cryptomapshortsec60ipsec-isakmp
注释:
以上命令为定义生成新保密密钥的周期。
如果攻击者破解了保密密钥,他就能够解使用同一个密钥的所有通信。
基于这个原因,我们要设置一个较短的密钥更新周期。
比如,每分钟生成一个新密钥。
这个命令在VPN两端的路由器上必须匹配。
参数shortsec是我们给这个配置定义的名称,稍后可以将它与路由器的外部接口建立关联。
Shelby(config-crypto-map)#setpeer200.20.25.1
注释:
这是标识对方路由器的合法IP地址。
在远程路由器上也要输入类似命令,只是对方路由器地址应该是100.10.15.1。
Shelby(config-crypto-map)#settransform-setvpn1
Shelby(config-crypto-map)#matchaddress130
注释:
这两个命令分别标识用于这个连接的传输设置和访问列表。
Shelby(config)#interfaces0
Shelby(config-if)#cryptomapshortsec
注释:
将刚才定义的密码图应用到路由器的外部接口。
现在剩下的部分是测试这个VPN的连接,并且确保通信是按照预期规划进行的。
最后一步是不要忘记保存运行配置,否则所作的功劳白费了。
附:
参照网络安全范围,VPN硬件设备应放置以下四个地点:
●在DMZ的防火墙之外
●连接到防火墙的第三个网卡(服务网络)
●在防火墙保护的范围之内
●与防火墙集成
(转载请保留作者和来自Cisco网络技术论坛,不得用于商业用途)
CiscoVPN客户端安装与配置
作者:
张腾英
以下为CiscoSystemsVPNClient4.0.3的安装与配置步骤,该客户端适用于MicrosoftWindows操作系统。
1 VPN客户端安装
CiscoSystemsVPNClient的安装步骤如下:
1、 在CiscoSystemsVPNClient软件包目录下,双击vpnclient_setup.exe安装文件,弹出如下对话框:
2、 点击OK按钮,弹出如下对话框:
3、 直接点击Next>按钮,弹出如下对话框:
4、 选择『Iacceptthelicenceagreement』,并点击Next>按钮,弹出安装路径对话框:
5、 保持默认安装路径,点击Next>按钮,弹出如下对话框:
6、 点击Next>按钮,弹出成功安装对话框,并点击Finish按钮,安装成功,并提示重新启动计算机。
2 VPN客户端配置
下面详细介绍如何配置VPN客户端,其中所用参数仅起演示之用,并非实际使用参数。
1、 选择开始→程序→CiscoSystemsVPNclient→VPNclient,弹出VPNclient主窗口,如下图所示:
2、 点击『New』按钮,弹出『CreateNewVPNConnectionEntry』窗口,然后根据实际情况,填写窗口中相应的条目。
3、 在『ConnectionEntry』框中输入VPN名称,譬如“测试VPN”,在『Description』框中输入该VPN的注释,譬如“测试”,在『Host』框中输入VPN设备的IP地址,譬如“192.168.0.1”。
在『Authentication』页面中,选择“GroupAuthentication”方式,并输入组名及密码,譬如:
组名为“test”,密码为“TesT”。
如下图所示:
4、 填写完毕之后,选择『Save』按钮保存,返回到VPNClient主界面,就有了“测试VPN”VPN条目,如下图所示:
5、 若要修改VPN的一些参数,可以选择『Modify』按钮,进入该VPN的属性对话框,可以对其属性值进行修改,如下图所示:
6、 VPNClient软件自带防火墙,可以启用或关闭防火墙,选择菜单Options→StatefulFirewall(AlwaysOn),该菜单项前面打勾,表明已启用防火墙,如下图所示:
7、 所有配置完成之后,就可以使用VPN了。
双击VPN连接,弹出用户认证窗口,在该窗口中输入用户名和密码,若认证通过,弹出窗口提示VPN连接建立成功,点击OK按钮后窗口缩小。
然后就可以访问“测试VPN”中相关内容了。
8、 当不需要使用VPN时,可以点击『CancelConnect』按钮断开VPN连接。
VPN的配置实例
(1)
将该资讯加入网摘:
天极新浪ViVi365KeyPoco5Seek博采拇指
一、Pix-Pix
PIXCentral
Buildingconfiguration...
:
Saved
:
PIXVersion6.3(3)
interfaceethernet0auto
interfaceethernet1auto
nameifethernet0outsidesecurity0
nameifethernet1insidesecurity100
enablepassword8Ry2YjIyt7RRXU24encrypted
passwd2KFQnbNIdI.2KYOUencrypted
hostnamepix-central
fixupprotocoldnsmaximum-length512
fixupprotocolftp21
fixupprotocolh323h2251720
fixupprotocolh323ras1718-1719
fixupprotocolhttp80
fixupprotocolrsh514
fixupprotocolrtsp554
fixupprotocolsip5060
fixupprotocolsipudp5060
fixupprotocolskinny2000
fixupprotocolsmtp25
fixupprotocolsqlnet1521
fixupprotocoltftp69
names
!
---ThisistraffictoPIX2.
access-list120permitip10.1.1.0255.255.255.010.2.2.0255.255.255.0
!
---ThisistraffictoPIX3.
access-list130permitip10.1.1.0255.255.255.010.3.3.0255.255.255.0
!
---DonotdoNetworkAddressTranslation(NAT)ontraffictootherPIXes.
access-list100permitip10.1.1.0255.255.255.010.2.2.0255.255.255.0
access-list100permitip10.1.1.0255.255.255.010.3.3.0255.255.255.0
pagerlines24
loggingon
mtuoutside1500
mtuinside1500
ipaddressoutside172.18.124.153255.255.255.0
ipaddressinside10.1.1.1255.255.255.0
ipauditinfoactionalarm
ipauditattackactionalarm
pdmhistoryenable
arptimeout14400
!
---DonotdoNATontraffictootherPIXes.
nat(inside)0access-list100
routeoutside0.0.0.00.0.0.0172.18.124.11
timeoutxlate3:
00:
00
timeoutconn1:
00:
00half-closed0:
10:
00udp0:
02:
00rpc0:
10:
00h2251:
00:
00
timeouth3230:
05:
00mgcp0:
05:
00sip0:
30:
00sip_media0:
02:
00
timeoutuauth0:
05:
00absolute
aaa-serverTACACS+protocoltacacs+
aaa-serverRADIUSprotocolradius
aaa-serverLOCALprotocollocal
nosnmp-serverlocation
nosnmp-servercontact
snmp-servercommunitypublic
snmp-serverenabletraps
floodguardenable
sysoptconnectionpermit-ipsec
cryptoipsectransform-setmysetesp-desesp-md5-hmac
!
---ThisistraffictoPIX2.
cryptomapnewmap20ipsec-isakmp
cryptomapnewmap20matchaddress120
cryptomapnewmap20setpeer172.18.124.154
cryptomapnewmap20settransform-setmyset
!
---ThisistraffictoPIX3.
cryptomapnewmap30ipsec-isakmp
cryptomapnewmap30matchaddress130
cryptomapnewmap30setpeer172.18.124.157
cryptomapnewmap30settransform-setmyset
cryptomapnewmapinterfaceoutside
isakmpenableoutside
isakmpkey********address172.18.124.154netmask255.255.255.255
no-xauthno-config-mode
isakmpkey********address172.18.124.157netmask255.255.255.255
no-xauthno-config-mode
isakmpidentityaddress
isakmppolicy10authenticationpre-share
isakmppolicy10encryptiondes
isakmppolicy10hashmd5
isakmppolicy10group1
isakmppolicy10lifetime1000
telnettimeout5
sshtimeout5
consoletimeout0
terminalwidth80
Cryptochecksum:
d41d8cd98f00b204e9800998ecf8427e
:
end
PIX2
Buildingconfiguration...
:
Saved
:
PIXVersion6.3(3)
interfaceethernet0auto
interfaceethernet1auto
nameifethernet0outsidesecurity0
nameifethernet1insidesecurity100
enablepassword8Ry2YjIyt7RRXU24encrypted
passwd2KFQnbNIdI.2KYOUencrypted
hostnamepix2
fixupprotocoldnsmaximum-length512
fixupprotocolftp21
fixupprotocolh323h2251720
fixupprotocolh323ras1718-1719
fixupprotocolhttp80
fixupprotocolrsh514
fixupprotocolrtsp554
fixupprotocolsip5060
fixupprotocolsipudp5060
fixupprotocolskinny2000
fixupprotocolsmtp25
fixupprotocolsqlnet1521
fixupprotocoltftp69
names
!
---ThisistraffictoPIXCentral.
access-list110permitip10.2.2.0255.255.255.010.1.1.0255.255.255.0
!
---DonotdoNATontraffictoPIXCentral.
access-list100permitip10.2.2.0255.255.255.010.1.1.0255.255.255.0
pagerlines24
loggingon
mtuoutside1500
mtuinside1500
ipaddressoutside172.18.124.154255.255.255.0
ipaddressinside10.2.2.1255.255.255.0
ipauditinfoactionalarm
ipauditattackactionalarm
nofailover
failovertimeout0:
00:
00
failoverpoll15
nofailoveripaddressoutside
nofailoveripaddressinside
pdmhistoryenable
arptimeout14400
!
---DonotdoNATontraffictoPIXCentral.
nat(inside)0access-list100
routeoutside0.0.0.00.0.0.0172.18.124.11
timeoutxlate3:
00:
00
timeoutconn1:
00:
00half-closed0:
10:
00udp0:
02:
00rpc0:
10:
00h2251:
00:
00
timeouth3230:
05:
00mgcp0:
05:
00sip0:
30:
00sip_media0:
02:
00
timeoutuauth0:
05:
00absolute
aaa-serverTACACS+protocoltacacs+
aaa-serverRADIUSprotocolradius
aaa-serverLOCALprotocollocal
nosnmp-serverlocation
nosnmp-servercontact
snmp-servercommunitypublic
nosnmp-serverenabletraps
floodguardenable
sysoptconnectionpermit-ipsec
cryptoipsectransform-setmysetesp-desesp-md5-hmac
!
---ThisistraffictoPIXCentral.
cryptomapnewmap10ipsec-isakmp
cryptomapnewmap10matchaddress110
cryptomapnewmap10setpeer172.18.124.153
cryptomapnewmap10settransform-setmyset
cryptomapnewmapinterfaceoutside
isakmpenableoutside
isakmpkey********address172.18.124.153netmask255.255.255.255
no-xauthno-config-mode
isakmpidentityaddress
isakmppolicy10authenticationpre-share
isakmppolicy10encryptiondes
isakmppolicy10hashmd5
isakmppolicy10group1
isakmppolicy10lifetime1000
telnettimeout5
sshtimeout5
consoletimeout0
terminalwidth80
Cryptochecksum:
d41d8cd98f00b204e9800998ecf8427e
:
end
PIX3Configuration
Buildingconfiguration...
:
Saved
:
PIXVersion6.3(3)
interfaceethernet0auto
interfaceethernet1auto
nameifethernet0outsidesecurity0
nameifethernet1insidesecurity100
enablepassword8Ry2YjIyt7RRXU24encrypted
passwd2KFQnbNIdI.2KYOUencrypted
hostnamepix3
fixupprotocoldnsmaximum-length512
fixupprotocolftp21
fixupprotocolh323h2251720
fixupprotocolh323ras1718-1719
fixupprotocolhttp80
fixupprotocolrsh514
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VPN 基本 配置