Cisco路由器VPN配置.docx

Cisco路由器VPN配置.docx

《Cisco路由器VPN配置.docx》由会员分享，可在线阅读，更多相关《Cisco路由器VPN配置.docx（14页珍藏版）》请在冰豆网上搜索。

Cisco路由器VPN配置

Cisco路由器VPN配置

大家参考这里的五个实验，基本包括了cisco之vpn配置所需要知识。

我不再编写具体的例子。

Cisco并不难，主要有些人没有接触的机会，如果你经常管理cisco设备，你会发现其实就那几步！

说句实话，考取CCIE其实很简单（只要你有机会接触cisco设备）。

一、host到router

1、实验网络拓扑：

pc（vpnclient4.01）－－－switch－－－router1720（vpnaccessserver）

pc配置:

ip：

10.130.23.242/28

gw：

10.130.23.246

1720接口ip：

f0：

10.130.23.246/28

lo0：

172.16.1.1/24

1720的ios为c1700-k93sy7-mz.122-8.T5.bin

2、步骤：

1、配置isakmppolicy：

cryptoisakmppolicy1

encr3des

authenpre-share

group2

2、配置vpnclient地址池

cryisaclientconfaddress-poollocalpool192

iplocalpoolpool192192.168.1.1192.168.1.254

3、配置vpnclient有关参数

cryisaclientconfgroupvclient-group

####vclient-group就是在vpnclient的连接配置中需要输入的groupauthenticationname。

keyvclient-key

####vclient-key就是在vpnclient的连接配置中需要输入的groupauthenticationpassword。

poolpool192####client的ip地址从这里选取

####以上两个参数必须配置，其他参数还包括domain、dns、wins等，根据情况进行配置。

4、配置ipsectransform-set

cryipsectransvclient-tfsesp-3desesp-sha-hmac

5、配置map模板

crydynamic-maptemplate-map1

settransform-setvclient-tfs####和第四步对应

6、配置vpnmap

crymapvpnmap1ipsec-isakmpdynamictemplate-map

####使用第?

*脚渲玫?

map模板

crymapvpnmapisakmpauthorlistvclient-group####使用第三步配置的参数authorization

crymapvpnmapclientconfaddressrespond####响应client分配地址的请求

7、配置静态路由

iproute192.168.1.0255.255.255.0fastethernet0

3、说明几点：

（1）因为1720只有一个fastethernet口，所以用router1720上的lo0地址来模拟router内部网络。

（2）vpnclient使用的ippool地址不能与router内部网络ip地址重叠。

（3）10.130.23.0网段模拟公网地址，172.16.1.0网段用于1720内部地址，192.168.1.0网段用于vpn通道。

（4）没有找到设置vpnclient获取的子网掩码的办法。

看来是ios还不支持这个功能。

（5）关于splittunnel。

配置方法：

首先，设置access133permitip172.16.1.00.0.0.255any，允许1720本地网络数据通过tunnel，然后在第三步骤中添加一个参数：

acl133。

4、附1720的完整配置：

VPN1720#shrun

Buildingconfiguration...

Currentconfiguration:

1321bytes

!

version12.2

servicetimestampsdebuguptime

servicetimestampsloguptime

noservicepassword-encryption

!

hostnameVPN1720

!

enablesecret5$1$aNmA$b0AqzlCr3MfM5XU0IAmED.

!

mmipolling-interval60

nommiauto-configure

nommipvc

mmisnmp-timeout180

ipsubnet-zero

!

!

noipdomain-lookup

!

ipauditnotifylog

ipauditpomax-events100

!

cryptoisakmppolicy1

encr3des

authenticationpre-share

group2

cryptoisakmpclientconfigurationaddress-poollocalpool192

!

cryptoisakmpclientconfigurationgroupvclient-group

keyvclient-key

domain

poolpool192

!

!

cryptoipsectransform-setvclient-tfsesp-3desesp-sha-hmac

!

cryptodynamic-maptemplate-map1

settransform-setvclient-tfs

!

!

cryptomapvpnmapisakmpauthorizationlistvclient-group

cryptomapvpnmapclientconfigurationaddressrespond

cryptomapvpnmap1ipsec-isakmpdynamictemplate-map

!

!

!

!

interfaceLoopback0

ipaddress172.16.1.1255.255.255.240

!

interfaceFastEthernet0

ipaddress10.130.23.246255.255.255.240

speedauto

cryptomapvpnmap

!

interfaceSerial0

noipaddress

shutdown

!

iplocalpoolpool192192.168.1.1192.168.1.254

ipclassless

iproute192.168.1.0255.255.255.0FastEthernet0

noiphttpserver

ippimbidir-enable

!

!

!

!

linecon0

lineaux0

linevty04

!

noschedulerallocate

end

VPNClient4.01的配置：

新建一个connectionentry，参数中name任意起一个，host填入vpnaccessserver的f0地址10.130.23.246，

groupauahentication中name填vclient-group，password填vclient-key.

5、测试：

（1）在pc上运行VPNclient，连接vpnaccessserver。

（2）ipconfig/all，查看获取到的ip地址与其他参数。

（3）在router，showcryisasa,看连接是否成功。

（4）从router，pingclient已经获取到的ip地址，通过。

（5）从client，pingrouter的lo0配置的地址172.16.1.1，通过。

（6）查看vpnclient软件的status--statistics,可以看到加密与解密的数据量。

（7）1720上showcryipsa,也可以查看加密与解密的数据量。

6、常用调试

showcryisakmpsa

showcryipsecsa

clearcrysa

clearcryisakmp

debugcryisakmp#####这是最常用的debug命令，vpn连接的基本错误都可以用它来找到

debugcryipsec

二、easyvpnclient的配置（network-extensionmode）

实验网络拓扑：

router3662（vpnclient）－－－switch－－－router1720（vpnaccessserver）

pc（vpnclient4.01）－－－－－－|

3662接口ip:

f0/0：

10.130.23.244/28

f0/1：

172.16.2.1/24

1720接口ip：

f0：

10.130.23.246/28

lo0：

172.16.1.1/24

pc配置:

ip：

10.130.23.242/28

gw：

10.130.23.246

1720的ios为c1700-k93sy7-mz.122-8.T5.bin

3662的ios为c3660-jk9o3s-mz.123-1a.bin

步骤：

1、配置1720路由器，参照实验一，设置为vpnserver。

2、配置3662路由器，设置vpnclient参数

cryipclientezvpnvclient####定义crypto-ezvpnname

modenetwork-extension####设置为网络扩展模式

groupvclient-groupkeyvclient-key####设置登录vpnserver的组名与组口令

peer10.130.23.246####设置vpnserver的ip地址，如果启用dns，则可以用hostname

connectauto####设置为自动连接。

如果设为手动，则必须使用cryipclientezvpnconnectvclient命令来启动vpn通道。

local-addressF0/0####设置vpn通道本地地址，选用f0/0，可以保证vpnserver找到它

3、定义加密数据入口，这里为f0/1

interf0/1

cryipclientezvpnvclientinside

4、定义加密数据出口，这里为连接vpnserver的f0/0

interf0/0

cryipclientezvpnvclientoutside

5、在1720上设置静态路由，地址范围为3662路由本地网络的地址

iproute172.16.2.0255.255.255.0f0

6、设置ipdhcp服务####cisco推荐使用dhcp来进行本地网络ip的分配。

此步骤可选。

servicedhcp####启动dhcp服务

ipdhcppooldhcppool####定义dhcppoolname

network172.16.2.0/24####定义可分配的IP地址段

default-router172.16.2.1####定义dhcpclient的默认网关

lease100####设置ip保留时间

importall####如果配置了上级dhcp，server，则接受其所有参数

ipdhcpexcluded-address172.16.2.1####将router上的地址排除

测试：

（1）配置好3662上的vpnclient后，自动进行vpn连接。

可以通过debugcryisa、debcryipclientezvpn、debcryip等debug命令输出的信息查看过程与结果。

（2）在1720上扩展ping，source10.130.23.246destination172.16.2.1，通过。

查看showcryipsa，可以发现数据没有进行加密。

（3）在1720上扩展ping，source172.16.1.1destination172.16.2.1，通过。

查看showcryipsa，可以发现数据通过加密进行传输。

（4）在3660上扩展ping，source172.16.2.1destination172.16.1.1，通过。

查看showcryipsa，可以发现数据通过加密进行传输。

（5）在3660上扩展ping，source10.130.23.244destination172.16.1.1，不通。

查看showcryipsa，可以发现数据不通过加密。

（6）启动pcvpnclient，ping172.16.1.1，通过。

在1720上查看showcryipsa，可以看到数据通过加密进行传输。

（7）在pcvpnclient，ping172.16.2.1，通过。

在1720和3662上查看showcryipsa，可以看到数据通过加密进行传输。

在1720上showcryisasa，可以看到两个vpn连接。

（8）在3660上扩展ping，source172.16.2.1destination192.168.1.10（pcvpnclient获得的ip），通过。

查看showcryipsa，可以发现数据通过加密进行传输。

说明：

（1）不同平台，不同ios版本，easyvpnclient的配置有所不同。

特别是加密数据入出接口的配置，配置接口前后，用showcryipclientezvpn来查看与验证。

（2）network-extension模式，vpnserver和vpnclient两端的内部网络之间可以通过ip地址互相访问。

（3）以上配置均没有启用splittunnel。

设置splittunnel的方法:

首先参考实验

（一），设置acl133和cryisaclientconfgroup中的参数，完成后，可以实现测试

（1）－（5）。

要实现Pcvpnclient和3662vpnclient互通，即测试（6）－（8），还要在1720的acl133中添加两条，分别是access133permitip192.168.1.00.0.0.255any、access133permitip172.16.2.00.0.0.255any。

（4）修改1720配置后，需要复位vpn通道，才可以起作用。

在pc端，是通过disconnect再connect来实现；在3662上，通过clearcryipclientezvpn来复位。

常用调试命令：

showcryipclientezvpn

clearcryipclientezvpn

debcryipclientezvpn

showcryipsa

debcryisa

showcryisasa

三、easyvpnclient的配置（clientmode）

实验网络拓扑同实验

（二）

实验步骤参考实验

（二），其中第二步，将modenetwork-extension改为modeclient。

测试：

（1）配置好3662上的vpnclient后，自动进行vpn连接。

可以通过debugcryisa、debcryipclientezvpn、debcryip等debug命令输出的信息查看过程与结果。

（2）在1720上扩展ping，source10.130.23.246destination172.16.2.1，不通。

（3）在1720上扩展ping，source172.16.1.1destination172.16.2.1，不通。

这是因为3662端ip数据流是通过nat进行传输。

（4）在3660上扩展ping，source172.16.2.1destination172.16.1.1，通过。

查看showcryipsa，可以发现数据通过加密进行传输。

在1720上打开debipicmp，可以看到echoreply信息的dst地址为192.168.1.19（vpnclient从vpnserver获取的ip地址）。

（5）在3660上扩展ping，source10.130.23.244destination172.16.1.1，不通。

说明：

（1）client模式，vpnclient端内部网络采用nat方式与vpnserver进行通信，vpnclient端网络可以访问server端网络资源，server端网络不能访问client端内部网络资源。

（2）client与network-extension两种模式，showcryipsa，可以看到localident是不同的。

（3）client模式下，用showipnatstatistics，可以看到nat的配置与数据流量。

（4）关于splittunnel，client模式的easyvpnclient，与pc的vpnclient类似，配置splittunnel的方法也相同。

常用调试命令：

showcryipclientezvpn

clearcryipclientezvpn

debcryipclientezvpn

showcryipsa

debcryisa

showcryisasa

showipnatstatistics

四、sitetositevpn的配置（采用pre-share）

实验网络拓扑：

router3662－－－switch－－－router1720

3662接口ip:

f0/0：

10.130.23.244/28

f0/1：

172.16.2.1/24

1720接口ip：

f0：

10.130.23.246/28

lo0：

172.16.1.1/24

1720的ios为c1700-k93sy7-mz.122-8.T5.bin

3662的ios为c3660-jk9o3s-mz.123-1a.bin

步骤：

以1720为例进行配置

（1）配置静态路由####在配置vpn之前，需要保证两方的网络可以互相访问。

iproute172.16.2.0255.255.255.010.130.23.244

（2）定义加密数据的acl

access144permitip172.16.1.00.0.0.255172.16.2.00.0.0.255

（3）定义isakmppolicy

cryisapolicy1

authenticationpre-share####采用pre-sharekey进行验证

####authentication参数必须配置，其他参数如group、hash、encr、lifetime等，如果进行配置，需要注意两个路由器上的对应参数配置必须相同。

（4）定义pre-sharekey

cryisakeypre-share-keyaddress10.130.23.244

####其中pre-share-key为key，两个路由器上要一样

####其中10.130.23.244为peer路由器的ip地址。

（5）定义transform-set

cryipsectransform-setvpn-tfsesp-3desesp-sha-hmac

####其中vpn-tfs为transform-setname，后面两项为加密传输的算法

modetransport/tunnel#####tunnel为默认值，此配置可选

（6）定义cryptomapentry

crymapvpn-map10ipsec-isakmp

####其中vpn-map为mapname，10是entry号码，ipsec-isakmp表示采用isakmp进行密钥管理

matchaddress144####定义进行加密传输的数据，与第二步对应

setpeer10.130.23.244####定义peer路由器的ip

settransform-setvpn-tfs####与第?

*蕉杂?

br/>;####如果一个接口上要对应多个vpnpeer，可以定义多个entry，每个entry对应一个peer

（7）将cryptomap应用到接谏?

br/>;interf0#####vpn通道入口

crymapvpn-map

（8）同样方法配置3662路由器。

1720的完整配置：

VPN1720#shrun

Buildingconfiguration...

Currentconfiguration:

1217bytes

!

version12.2

servicetimestampsdebuguptime

servicetimestampsloguptime

noservicepassword-encryption

!

hostnameVPN1720

!

loggingbuffered4096debugging

nologgingrate-limit

enablepasswordCISCO

!

usernamevclient1password0vclient1

mmipolling-interval60

nommiauto-configure

nommipvc

mmisnmp-timeout180

ipsubnet-zero

!

!

ipdomain-name

!

ipauditnotifylog

ipauditpomax-events100

!

cryptoisakmppolicy1

encr3des

authenticationpre-share

group2

cryptoisakmpkeypre-share-keyaddress10.130.23.244

!

!

cryptoipsectransform-setvpn-tfsesp-3desesp-sha-hmac

!

cryptomapvpn-map10ipsec-isakmp

setpeer10.130.23.244

settransform-setvpn-tfs

matchaddress144

!

!

!

!

interfaceLoopback0

i