IPsecVPN配置大全.docx
- 文档编号:24475720
- 上传时间:2023-05-27
- 格式:DOCX
- 页数:12
- 大小:99.14KB
IPsecVPN配置大全.docx
《IPsecVPN配置大全.docx》由会员分享,可在线阅读,更多相关《IPsecVPN配置大全.docx(12页珍藏版)》请在冰豆网上搜索。
IPsecVPN配置大全
IPsecVPN配置大全
一.基于PSK的IPsecVPN配置
首先IOS带k的就可以了,支持加密特性,拓扑如下:
topo.jpg(57.02KB)2008-10-1120:
14
1.R1基本配置:
R1(config)#interfaceloopback0
R1(config-if)#ipaddress10.1.1.1255.255.255.0
R1(config-if)#noshutdown
R1(config-if)#interfaceserial0/0
R1(config-if)#ipaddress 192.168.1.1255.255.255.252
R1(config-if)#clockrate56000
R1(config-if)#noshutdown
R1(config-if)#exit
2.定义感兴趣流量与路由协议:
R1(config)#access-list100permitip10.1.1.00.0.0.25510.2.2.00.0.0.255
R1(config)#iproute0.0.0.00.0.0.0serial0/0
3.全局启用ISAKMP并定义对等体及其PSK(预共享密钥):
R1(config)#cryptoisakmpenable
R1(config)#cryptoisakmpkey0lgsaddress192.168.1.2
4.定义IKE策略:
R1(config)#cryptoisakmppolicy10
R1(config-isakmp)#encryptionaes128 /---默认是DES加密---/
R1(config-isakmp)#hashsha /---默认是SHA-1---/
R1(config-isakmp)#authenticationpre-share /共享密钥
R1(config-isakmp)#group2 /---默认是768位的DH1---/
R1(config-isakmp)#lifetime3600 /---默认是86400秒---/
R1(config-isakmp)#exit
5.定义IPSec转换集(transformset):
R1(config)#cryptoipsectransform-setttesp-aes128esp-sha-hmac
R1(cfg-crypto-trans)#modetunnel/隧道模式
R1(cfg-crypto-trans)#exit
6.定义cryptomap并应用在接口上:
R1(config)#cryptomapcisco10ipsec-isakmp
R1(config-crypto-map)#matchaddress100
R1(config-crypto-map)#setpeer192.168.1.2 /---定义要应用cryptomap的对等体地址
R1(config-crypto-map)#settransform-settt/---定义cryptomap要应用的IPsec转换集---/
R1(config-crypto-map)#exit
R1(config)#interfaceserial0/0
R1(config-if)#cryptomapcisco
*Mar 100:
08:
31.131:
%CRYPTO-6-ISAKMP_ON_OFF:
ISAKMPisON
R1配置完成.
同理,R2相关配置如下:
R2(config)#interfaceLoopback0
R2(config-if)#ipaddress10.2.2.1255.255.255.0
R2(config)#interfaceSerial0/0
R2(config-if)#ipaddress192.168.1.2255.255.255.252
R2(config-if)#noshutdown
R2(config)#iproute0.0.0.00.0.0.0Serial0/0
R2(config)#access-list100permitip10.2.2.00.0.0.25510.1.1.00.0.0.255
R2(config)#cryptoisakmppolicy10
R2(config-isakmp)#encryptionaes
R2(config-isakmp)#authenticationpre-share
R2(config-isakmp)#group2
R2(config)#cryptoisakmpkey91labaddress192.168.1.1
R2(config)#cryptoipsectransform-setttesp-aesesp-sha-hmac
R2(cfg-crypto-trans)#modetunnel
R2(config)#cryptomapcisco10ipsec-isakmp
R2(config-crypto-map)#setpeer192.168.1.1
R2(config-crypto-map)#settransform-settt
R2(config-crypto-map)#matchaddress100
R2(config)#interfaceserial0/0
R2(config-if)#cryptomapcisco
二.采用积极模式并PSK的IPsecVPN配置
1.R1基本配置:
R1(config)#interfaceloopback0
R1(config-if)#ipaddress10.1.1.1255.255.255.0
R1(config-if)#noshutdown
R1(config-if)#interfaceserial0/0
R1(config-if)#ipaddress 192.168.1.1255.255.255.252
R1(config-if)#clockrate56000
R1(config-if)#noshutdown
R1(config-if)#exit
2.定义感兴趣流量与路由协议:
R1(config)#access-list100permitip10.1.1.00.0.0.25510.2.2.00.0.0.255
R1(config)#iproute0.0.0.00.0.0.0serial0/0
3.全局启用ISAKMP并定义对等体及其PSK(预共享密钥),采用积极模式:
R1(config)#cryptoisakmpenable
R1(config)#cryptoisakmppeeraddress192.168.1.2
R1(config-isakmp-peer)#setaggressive-modeclient-endpointipv4-address192.168.1.1
R1(config-isakmp-peer)#setaggressive-modepassword0lgs
4.定义IKE策略:
R1(config)#cryptoisakmppolicy10
R1(config-isakmp)#encryptionaes128 /---默认是DES加密---/
R1(config-isakmp)#hashsha /---默认是SHA-1---/
R1(config-isakmp)#authenticationpre-share /共享密钥
R1(config-isakmp)#group2 /---默认是768位的DH1---/
R1(config-isakmp)#lifetime3600 /---默认是86400秒---/
R1(config-isakmp)#exit
5.定义IPSec转换集(transformset):
R1(config)#cryptoipsectransform-setttesp-aes128esp-sha-hmac
R1(cfg-crypto-trans)#modetunnel/隧道模式
R1(cfg-crypto-trans)#exit
6.定义cryptomap并应用在接口上:
R1(config)#cryptomapcisco10ipsec-isakmp
R1(config-crypto-map)#matchaddress100
R1(config-crypto-map)#setpeer192.168.1.2 /---定义要应用cryptomap的对等体地址---/
R1(config-crypto-map)#settransform-settt /---定义cryptomap要应用的IPsec转换集---/
R1(config-crypto-map)#exit
R1(config)#interfaceserial0/0
R1(config-if)#cryptomapcisco
*Mar 100:
08:
31.131:
%CRYPTO-6-ISAKMP_ON_OFF:
ISAKMPisON
R1配置完成.
同理,R2配置如下:
R2(config)#interfaceLoopback0
R2(config-if)#ipaddress10.2.2.1255.255.255.0
R2(config)#interfaceSerial0/0
R2(config-if)#ipaddress192.168.1.2255.255.255.252
R2(config)#noshutdown
R2(config)#iproute0.0.0.00.0.0.0Serial0/0
R2(config)#access-list100permitip10.2.2.00.0.0.25510.1.1.00.0.0.255
R2(config)#cryptoisakmppolicy10
R2(config-isakmp)#encraes
R2(config-isakmp)#authenticationpre-share
R2(config-isakmp)#group2
R2(config)#cryptoisakmppeeraddress192.168.1.1
R2(config-isakmp-peer)#setaggressive-modepassword0lgs
R2(config-isakmp-peer)#setaggressive-modeclient-endpointipv4-address192.168.1.2
R2(config)#cryptoipsectransform-setttesp-aesesp-sha-hmac
R2(cfg-crypto-trans)#modetunnel
R2(config)#cryptomapcisco10ipsec-isakmp
R2(config-crypto-map)#setpeer192.168.1.1
R2(config-crypto-map)#settransform-settt
R2(config-crypto-map)#matchaddress100
R2(config)#interfaceSerial0/0
R2(config-if)#cryptomapcisco
三.GRE隧道与IPsec的结合
GRE隧道本身不带安全特性,可以通过结合基于PSK的IPsec来实现安全功能.拓扑如下:
1.R1基本配置:
R1(config)#interfaceloopback0
R1(config-if)#ipaddress10.1.1.1255.255.255.0
R1(config-if)#noshutdown
R1(config-if)#interfaceserial0/0
R1(config-if)#ipaddress 192.168.1.1255.255.255.252
R1(config-if)#clockrate56000
R1(config-if)#noshutdown
R1(config)#interfacetunnel0
R1(config-if)#ipunnumberedserial0/0
R1(config-if)#tunnelsourceserial0/0
R1(config-if)#tunneldestination192.168.1.2
R1(config-if)#tunnelmodegreip /---可以不打,默认即为GRE---/
R1(config-if)#noshutdown
R1(config-if)#exit
2.定义感兴趣流量与路由协议:
R1(config)#access-list100permitgrehost192.168.1.1host192.168.1.2
R1(config)#iproute0.0.0.00.0.0.0serial0/0
R1(config)#iproute10.2.2.0255.255.255.0serial0/0
3.全局启用ISAKMP并定义对等体及其PSK(预共享密钥):
R1(config)#cryptoisakmpenable
R1(config)#cryptoisakmpkey91labaddress192.168.1.2
4.定义IKE策略:
R1(config)#cryptoisakmppolicy10
R1(config-isakmp)#encryptionaes128 /---默认是DES加密---/
R1(config-isakmp)#hashsha /---默认是SHA-1---/
R1(config-isakmp)#authenticationpre-share
R1(config-isakmp)#group2 /---默认是768位的DH1---/
R1(config-isakmp)#lifetime3600 /---默认是86400秒---/
R1(config-isakmp)#exit
5.定义IPSec转换集(transformset):
R1(config)#cryptoipsectransform-setttesp-aes128esp-sha-hmac
R1(cfg-crypto-trans)#modetunnel
R1(cfg-crypto-trans)#exit
6.定义cryptomap并应用在接口上:
R1(config)#cryptomapcisco10ipsec-isakmp
R1(config-crypto-map)#matchaddress100
R1(config-crypto-map)#setpeer192.168.1.2 /---定义要应用cryptomap的对等体地址
R1(config-crypto-map)#settransform-settt/---定义cryptomap要应用的IPsec转换集---/
R1(config-crypto-map)#exit
R1(config)#interfaceserial0/0
R1(config-if)#cryptomapcisco
*Mar 100:
08:
31.131:
%CRYPTO-6-ISAKMP_ON_OFF:
ISAKMPisON
R1配置完成.
同理,R2相关配置如下:
R2(config)#interfaceLoopback0
R2(config-if)#ipaddress10.2.2.1255.255.255.0
R2(config)#interfaceSerial0/0
R2(config-if)#ipaddress192.168.1.2255.255.255.252
R2(config-if)#noshut
R2(config)#interfaceTunnel0
R2(config-if)#ipunnumberedSerial0/0
R2(config-if)#tunnelsourceSerial0/0
R2(config-if)#tunneldestination192.168.1.1
R2(config-if)#noshut
R2(config)#iproute0.0.0.00.0.0.0Serial0/0
R2(config)#access-list100permitgrehost10.2.2.1host10.1.1.1
R2(config)#cryptoisakmppolicy10
R2(config-isakmp)#encraes
R2(config-isakmp)#authenticationpre-share
R2(config-isakmp)#group2
R2(config)#cryptoisakmpkey91labaddress192.168.1.1
R2(config)#cryptoipsectransform-setttesp-aesesp-sha-hmac
R2(config)#cryptomapcisco10ipsec-isakmp
R2(config-crypto-map)#setpeer192.168.1.1
R2(config-crypto-map)#settransform-settt
R2(config-crypto-map)#matchaddress100
R2(config)#interfaceSerial0/0
R2(config-if)#cryptomapcisco
四.IPsecVPN的高可用性
通常情况下,我们希望IPsecVPN流量可以在主从路由器之间做到无缝切换,可以通过HSRP与SSO相结合的方式来达到此目的.HSRP用于保证接入流量的热备份.一旦主路由器down掉后,HSRP立即将IKE信息与SA传递给备份路由器;而SSO允许主从路由器之间共享IKE与SA信息.
topo.jpg(66.28KB)2008-10-1519:
48
SPOKE配置如下:
1.定义感兴趣流量与路由协议:
SPOKE(config)#access-list100permitip10.1.1.00.0.0.25510.2.2.00.0.0.255
SPOKE(config)#iproute0.0.0.00.0.0.0serial0/0
2.全局启用ISAKMP并定义对等体及其PSK(预共享密钥):
SPOKE(config)#cryptoisakmpenable
SPOKE(config)#cryptoisakmpkey91labaddress0.0.0.00.0.0.0
3.定义IKE策略:
SPOKE(config)#cryptoisakmppolicy10
SPOKE(config-isakmp)#encryptionaes128 /---默认是DES加密---/
SPOKE(config-isakmp)#hashsha /---默认是SHA-1---/
SPOKE(config-isakmp)#authenticationpre-share
SPOKE(config-isakmp)#group2 /---默认是768位的DH1---/
SPOKE(config-isakmp)#lifetime3600 /---默认是86400秒---/
SPOKE(config-isakmp)#exit
4.定义IPSec转换集(transformset):
SPOKE(config)#cryptoipsectransform-setnuaikoesp-aes128esp-sha-hmac
SPOKE(cfg-crypto-trans)#exit
5.定义cryptomap并应用在接口上:
SPOKE(config)#cryptomapccsp10ipsec-isakmp
SPOKE(config-crypto-map)#matchaddress100
SPOKE(config-crypto-map)#setpeer16.1.1.254 /---定义cryptomap的对等体地址,这里为对端HSRP的虚拟IP地址---/
SPOKE(config-crypto-map)#settransform-setnuaiko /---定义cryptomap要应用的IPsec转换集---/
SPOKE(config-crypto-map)#exit
SPOKE(config)#interfaceserial0/0
SPOKE(config-if)#cryptomapccsp
*Mar 100:
08:
31.131:
%CRYPTO-6-ISAKMP_ON_OFF:
ISAKMPisON
SPOKE配置完成.
HUB1配置如下:
1.定义感兴趣流量与路由协议:
HUB1(config)#access-list100permitip10.2.2.00.0.0.25510.1.1.00.0.0.255
HUB1(config)#iproute0.0.0.00.0.0.016.1.1.3
2.全局启用ISAKMP并定义对等体及其PSK(预共享密钥):
HUB1(config)#cryptoisakmpenable
HUB1(config)#cryptoisakmpkey91labaddress0.0.0.00.0.0.0
3.定义IKE策略:
HUB1(config)#cryptoisakmppolicy10
HUB1(config-isakmp)#encryptionaes128 /---默认是DES加密---/
HUB1(config-isakmp)#hashsha /---默认是SHA-1---/
HUB1(config-isakmp)#authenticationpr
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IPsecVPN 配置 大全