cisco-ipsec-vpn的设置

ciscoIPSecVPN配置VPN主要分两种方式：1、site-tosite站点到站点，多用于总部与分支办公室连接2、access-vpn远程访问VPN，多用于移动用户与总部进行连接。这次我做的是站点到站点与访问VPN的结合，稍做改动就可以把服务切换到ACCESSVPN模式，具体步骤如下：10.1.1.0----MainOffice----202------------------99-----HomeOffice-----192.168.1.0总部：cryptoisakmppolicy1//定义isakmp策略hashmd5//采用MD5，对数据进行完整性验证authenticationpre-share//采用pre-share认证方式cryptoisakmpkeyxxxxxxaddress0.0.0.00.0.0.0//指定密钥，同时指定对端可为任意IPcryptoipsectransform-setxxxsetesp-desesp-md5-hmac//VPN第二步，指定IPSec传输集，采用esp-des加密，MD5完整性验证cryptodynamic-mapxxxmap10//定义动态map，分支办公室IP不做限制settransform-setxxxsetmatchaddress185cryptomapxxxtrans10ipsec-isakmpdynamicxxxmap//正规mapintf0/0//内网接口ipad10.1.1.1255.255.255.0ipnatinsideintf0/1//外网接口ipad202.202.202.1255.255.255.240ipnatoutsidecryptomapxxxtrans//应用mapiproute0.0.0.00.0.0.0intf0/1//默认路由指向外网出口ipnatpooltele202.202.202.2202.202.202.6netmask255.255.255.240ipnatinsidesourceroute-mapnonatpoolteleoverload//路由策略指定进行具体NAT转换的数据access-list185permitip10.1.1.00.0.0.255192.168.1.00.0.0.255//指定与分支办公室连接的IP数据流，符合条件的进行VPN传输access-list190denyip10.1.1.00.0.0.255192.168.1.00.0.0.255access-list190permitip10.1.1.00.0.0.255any//指定与分支办公室连接的IP数据流，符合条件的进行NAT转换，第一句将到远程站点的访问否定了，不让其进行地址转换route-mapnonatpermit10//定义route-map，为NAT转换服务matchipaddress190分支办公室：cryptoisakmppolicy1//定义策略为1hashmd5//定义md5算法，完整性验证方法authenticationpre-share//定义为pre-share密钥认证方式cryptoisakmpkeyxxxxxxaddress202.202.202.1//定义pre-share密钥为xxxxxx，总部IP为202.202.202.1cryptoipsectransform-setxxxsetesp-desesp-md5-hmac//创建变换集esp-desesp-md5-hmac，定义加密方式为des，完整性验证为md5cryptomapxxxmap1ipsec-isakmp//创建正规mapsetpeer202.202.202.1//定义总部IPsettransform-setxxxset//使用上面定义的变换集xxxsetmatchaddress185//援引访问列表定义的敏感流量，即进行VPN转换的流量intf0/0ipad192.168.1.0255.255.255.0ipnatinsideintf0/1ipad99.99.99.1255.255.255.0//这里很有可能是动态IPipnatoutsidecryptomapxxxmapiproute0.0.0.00.0.0.0f0/1//默认路由指向出口access-list185permitip192.168.1.00.0.0.25510.1.1.00.0.0.255//指定需进行VPN转换的数据流access-list190denyip192.168.1.00.0.0.25510.1.1.00.0.0.255access-list190permitip192.168.1.00.0.0.255any//指定需进行正常NAT转换的数据流，符合条件的直接从出口访问公网，不符合的不做NAT转换，直接进行VPN加密并输送至公司总部端route-mapnonatpermit10matchipaddress190vpdnenable//以下是ADSL拨号配置intf0/1pppoeenablepppoe-clientdialer-pool-number1//定义dialer-poolintdialer1mtu1492//VPN连接中许多问题是MTU造成的ipaddressnegotiated//IP地址与对端协商，ISP随机提供动态IPencapsulationpppdialerpool1//引用dialerpooldialer-group1//引用敏感流量，符合条件的触发ADSL拨号pppauthenticationpapcallin//定义pap明文密码传输ppppapsent-usernamexxxx2223030password7******dialer-list1protocolippermit//定义敏感流量，这里为所有流量