ciscoVPN完全配置手册Word下载.docx
- 文档编号:18142198
- 上传时间:2022-12-13
- 格式:DOCX
- 页数:20
- 大小:22.36KB
ciscoVPN完全配置手册Word下载.docx
《ciscoVPN完全配置手册Word下载.docx》由会员分享,可在线阅读,更多相关《ciscoVPN完全配置手册Word下载.docx(20页珍藏版)》请在冰豆网上搜索。
172.16.1.2/24
10.1.1.254/24
2610的IOS为c2600-jk8o3s-mz.122-8.T5.bin
R1步骤:
1.配置isakmp
policy:
crypto
isakmp
policy
1
hash
md5
authentication
pre-share
group
2
2.配置vpn
client地址池
client
configuration
address-pool
local
pool192
ip
pool
192.168.1.1
192.168.1.254
3.配置vpn
client有关参数
vclient-group
(vclient-group就是在vpn
client的连接配置中需要输入的group
name。
)
key
vclient-key
(vclient-key就是在vpn
password。
(client的ip地址从这里选取
(以上两个参数必须配置,其他参数还包括domain、dns、wins等,根据情况进行配置。
)
4.配置ipsec
transform-set
ipsec
vclient-tfs
esp-des
esp-md5-hmac
5.配置map模板
cry
dynamic-map
template-map
set
(和第四步对应)
6.配置vpnmap
map
vpnmap
ipsec-isakmp
dynamic
(使用第五步配置的map模板
authorization
list
(使用第三步配置的参数authorization)
address
respond
(响应client分配地址的请求)
说明几点:
(1)vpn
client使用的ip
pool地址不能与Router内部网络ip地址重叠。
(2)172.16.1.0
网段模拟公网地址,10.1.1.0、20.1.1.0
网段用于内部地址,192.168.1.0
网段用于vpn通道。
R1的配置:
r1#
r1#sh
run
Building
configuration...
Current
:
1521
bytes
!
version
12.2
service
timestamps
debug
uptime
log
no
password-encryption
hostname
r1
Enable
Password
cisco
subnet-zero
audit
notify
po
max-events
100
2
vclient-key-cisco
vclient-pool
esp-md5-hmac
fax
interface-type
fax-mail
mta
receive
maximum-recipients
0
interface
FastEthernet0/0
20.1.1.254
255.255.255.0
Serial1/0
172.16.1.1
fair-queue
192.168.1.254
classless
route
0.0.0.0
http
server
pim
bidir-enable
call
rsvp-sync
mgcp
profile
default
dial-peer
cor
custom
line
con
login
pass
aux
vty
4
end
r1#
R2的配置:
r2#
r2#sh
714
r2
10.1.1.254
172.16.1.2
clockrate
64000
end
r2#
Client
4.01的配置:
建一个connection
entry,参数配置:
name:
任意起一个
host:
填入vpn
server的s0/0地址
auahentication:
name:
password:
vclient-key-cisco
测试:
(1)
在pc上运行VPN
client,连接vpn
server。
(2)
ipconfig/all,查看获取到的ip地址与其他参数。
(3)
在router,show
isa
sa,看连接是否成功。
(4)
从router,ping
client已经获取到的ip地址,通过。
(5)
从client,ping
r2的e0/0配置的地址172.16.2.1,通过。
(6)
查看vpn
client软件的status--statistics,可以看到加密与解密的数据量。
(7)
R1上show
sa,
也可以查看加密与解密的数据量。
常用调试命令:
show
sa
clear
ipsec
site
to
vpn的配置(采用pre-share)
实验网络拓扑:
Router------------------Router
R1接口ip:
s1/0:
192.168.1.1/24
f0/0:
192.168.1.2/24
172.16.2.1/24
2610的IOS为c2600-jk9s-mz.122-17.bin
步骤:
以R1为例进行配置
1.配置路由
2.定义加密数据的acl
101
permit
172.16.1.0
0.0.0.255
172.16.2.0
3.定义isakmp
(采用pre-share
key进行验证)
(authentication参数必须配置,其他参数如group、hash、encr、lifetime等,
如果进行配置,需要注意两个路由器上的对应参数配置必须相同。
4.定义pre-share
pre-share-key
192.168.1.2
(其中pre-share-key
为key,两个路由器上要一样,其中192.168.1.2为peer路由器的ip地址。
5.定义transform-set
vpn-tfs
esp-3des
esp-sha-hmac
(其中vpn-tfs为transform-set
name,后面两项为加密传输的算法)
(mode
transport/tunnel
tunnel为默认值,此配置可选)
6.定义crypto
entry
vpn-map
10
(其中vpn-map为map
name,10
是entry
号码,ipsec-isakmp表示采用isakmp进行密钥管理)
match
(定义进行加密传输的数据,与第二步对应)
peer
(定义peer路由器的ip)
(与第五步对应)
(如果一个接口上要对应多个vpn
peer,可以定义多个entry,每个entry对应一个peer)
7.将crypto
map应用到接口上
inter
f0
(vpn通道入口)
8.同样方法配置r2路由器。
R1的完整配置:
1064
domain-lookup
Ethernet0/0
keepalive
half-duplex
router
ospf
log-adjacency-changes
network
area
192.168.1.0
access-list
R2的完整配置:
configuration...
1103
username
password
172.16.2.1
End
(1)未将map应用到接口之前,在r1,扩展ping,source
destination
172.16.2.1,通过。
扩展ping,source
(2)map应用到接口之后,在r1,扩展ping,source
查看show
,可以看到数据没有通过vpn
通道进行传输,因为不符合acl
101。
(3)map应用到接口之后,在r1,扩展ping,source
sa,可以看到数据通过vpn
通道进行传输。
(4)在r2上同样进行测试。
vpn(采用rsa-encrypted)
Router---------------------Router
以R2为例进行配置
3.生成rsa
generate
rsa
general-keys
(生成General
Purpose
Key
或者
usage-keys
(分别生成rsa
signing
key和rsa
encryption
key)
这里
统一用general
purpose
4.复制peer
router的public
key到本地router中
(1)在R1上生成general
(2)在R1上show
mypubkey
rsa,(复制其中的General
(3)在R2上,crypto
pubkey-chain
(设置public
addressed-key
10.130.23.244
(设置关联10.130.23.244ip地址的key
key-string
(定义key串
粘贴从R2上复制的(General
(如果第三步生成了两种key,则这里复制粘贴的,应该是Encryption
Key(三个key中的第二个)(双方都要互相配置)
5.定义isakmp
rsa-encr
(采用rsa
Encryption
key进行验证
(authentication参数必须配置,其他参数如group、hash、encr、lifetime等,如果进行配置,需要注意两个路由器上的对应参数配置必须相同。
6.定义transform-set
name,后面两项为加密传输的算法
mode
(tunnel为默认值,此配置可选
7.定义crypto
号码,ipsec-isakmp表示采用isakmp进行密钥管理
(定义进行加密传输的数据,与第二步对应
(定义peer路由器的ip
peer,可以定义多个entry,每个entry
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ciscoVPN 完全 配置 手册