您好,欢迎访问三七文档
VPN实例配置方案-中文注解本例拓扑结构图如下:Router:sam-i-am(VPNServer)Currentconfiguration:!version12.2servicetimestampsdebuguptimeservicetimestampsloguptimenoservicepassword-encryption!hostnamesam-i-am!ipsubnet-zero!---IKE配置sam-i-am(config)#cryptoisakmppolicy1//定义策略为1sam-i-am(isakmp)#hashmd5//定义MD5散列算法sam-i-am(isakmp)#authenticationpre-share//定义为预共享密钥认证方式sam-i-am(config)#cryptoisakmpkeycisco123address0.0.0.00.0.0.0!---配置预共享密钥为cisco123,对等端为所有IP!---IPSec协议配置sam-i-am(config)#cryptoipsectransform-setrtpsetesp-desesp-md5-hmac!---创建变换集esp-desesp-md5-hmacsam-i-am(config)#cryptodynamic-maprtpmap10//创建动态保密图rtpmap10san-i-am(crypto-map)#settransform-setrtpset//使用上面的定义的变换集rtpsetsan-i-am(crypto-map)#matchaddress115//援引访问列表确定受保护的流量sam-i-am(config)#cryptomaprtptrans10ipsec-isakmpdynamicrtpmap!---将动态保密图集加入到正规的图集中!interfaceEthernet0ipaddress10.2.2.3255.255.255.0noipdirected-broadcastipnatinsidenomopenabled!interfaceSerial0ipaddress99.99.99.1255.255.255.0noipdirected-broadcastipnatoutsidecryptomaprtptrans//将保密映射应用到S0接口上!ipnatinsidesourceroute-mapnonatinterfaceSerial0overload!---这个NAT配置启用了路由策略,内容为10.2.2.0到10.1.1.0的访问不进行地址翻译!---到其他网络的访问都翻译成SO接口的IP地址ipclasslessiproute0.0.0.00.0.0.0Serial0//配置静态路由协议noiphttpserver!access-list115permitip10.2.2.00.0.0.25510.1.1.00.0.0.255access-list115denyip10.2.2.00.0.0.255any!access-list120denyip10.2.2.00.0.0.25510.1.1.00.0.0.255access-list120permitip10.2.2.00.0.0.255any!sam-i-am(config)#route-mapnonatpermit10//使用路由策略sam-i-am(router-map)#matchipaddress120!linecon0transportinputnonelineaux0linevty04passwordwwlogin!endRouter:dr_whoovie(VPNClient)Currentconfiguration:!version12.2servicetimestampsdebuguptimeservicetimestampsloguptimenoservicepassword-encryption!hostnamedr_whoovie!ipsubnet-zero!dr_whoovie(config)#cryptoisakmppolicy1//定义策略为1dr_whoovie(isakmp)#hashmd5//定义MD5散列算法dr_whoovie(isakmp)#authenticationpre-share//定义为预共享密钥认证方式dr_whoovie(config)#cryptoisakmpkeycisco123address99.99.99.1!---配置预共享密钥为cisco123,对等端为服务器端IP99.99.99.1!---IPSec协议配置dr_whoovie(config)#cryptoipsectransform-setrtpsetesp-desesp-md5-hmac!---创建变换集esp-desesp-md5-hmacdr_whoovie(config)#cryptomaprtp1ipsec-isakmp!---使用IKE创建保密图rtp1dr_whoovie(crypto-map)#setpeer99.99.99.1//确定远程对等端dr_whoovie(crypto-map)#settransform-setrtpset//使用上面的定义的变换集rtpsetdr_whoovie(crypto-map)#matchaddress115//援引访问列表确定受保护的流量!interfaceEthernet0ipaddress10.1.1.1255.255.255.0noipdirected-broadcastipnatinsidenomopenabled!interfaceSerial0ipaddressnegotiated//IP地址自动获取noipdirected-broadcastipnatoutsideencapsulationppp//S0接口封装ppp协议noipmroute-cachenoiproute-cachecryptomaprtp//将保密映射应用到S0接口上!ipnatinsidesourceroute-mapnonatinterfaceSerial0overload!---这个NAT配置启用了路由策略,内容为10.1.1.0到10.2.2.0的访问不进行地址翻译!---到其他网络的访问都翻译成SO接口的IP地址ipclasslessiproute0.0.0.00.0.0.0Serial0//配置静态路由协议noiphttpserver!access-list115permitip10.1.1.00.0.0.25510.2.2.00.0.0.255access-list115denyip10.1.1.00.0.0.255anyaccess-list120denyip10.1.1.00.0.0.25510.2.2.00.0.0.255access-list120permitip10.1.1.00.0.0.255any!dialer-list1protocolippermitdialer-list1protocolipxpermitroute-mapnonatpermit10//使用路由策略matchipaddress120!linecon0transportinputnonelineaux0linevty04passwordwwlogin!end-----------IKE配置----------------IPSecVPN对等端为了建立信任关系,必须交换某种形式的认证密钥。Internet密钥交换(InternetKeyExchange,IKE)是一种为IPSec管理和交换密钥的标准方法。一旦两个对等端之间的IKE协商取得成功,那么IKE就创建到远程对等端的安全关联(securityassociation,SA)。SA是单向的;在两个对等端之间存在两个SA。IKE使用UDP端口500进行协商,确保端口500不被阻塞。配置1、(可选)启用或者禁用IKE(global)cryptoisakmpenable或者(global)nocryptoisakmpenable默认在所有接口上启动IKE2、创建IKE策略(1)定义策略(global)cryptoisakmppolicypriority注释:policy1表示策略1,假如想多配几个VPN,可以写成policy2、policy3┅(2)(可选)定义加密算法(isakmp)encryption{des|3des}加密模式可以为56位的DES-CBC(des,默认值)或者168位的3DES(3des)(3)(可选)定义散列算法(isamkp)hash{sha|md5}默认sha(4)(可选)定义认证方式(isamkp)authentication{rsa-sig|rsa-encr|pre-share}rsa-sig要求使用CA并且提供防止抵赖功能;默认值rsa-encr不需要CA,提供防止抵赖功能pre-share通过手工配置预共享密钥(5)(可选)定义Diffie-Hellman标识符(isakmp)group{1|2}注释:除非购买高端路由器,或是VPN通信比较少,否则最好使用group1长度的密钥,group命令有两个参数值:1和2。参数值1表示密钥使用768位密钥,参数值2表示密钥使用1024位密钥,显然后一种密钥安全性高,但消耗更多的CPU时间。(6)(可选)定义安全关联的生命期(isakmp)lifetimeseconds注释:对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是两端的路由器都要设置相同的SA周期,否则VPN在正常初始化之后,将会在较短的一个SA周期到达中断。3、(rsa-sig)使用证书授权(CA)(1)确保路由器有主机名和域名(global)hostnamehostname(global)ipdomain-namedomain(2)产生RSA密钥(global)cryptokeygeneratersa(3)使用向IPSec对等端发布证书的CA--设定CA的主机名(global)cryptocaidentityname--设定联络CA所使用的URL(ca-identity)enrollmenturlurlURL应该采用的形式--(可选)使用RA模式(ca-identity)enrollmentmodera(ca-identity)queryurlurl--(可选)设定注册重试参数(ca-identity)enrollmentretryperiodminutes(ca-identity)enrollmentretrycountnumberminutes(1到60;默认为1)number(1到100;默认为0,代表无穷次)--(可选)可选的证书作废列表(ca-identity)crloptional(4)(可选)使用可信的根CA--确定可信的根CA(global)cryptocatrusted-rootname--(可选)从可信的根请求CRL(ca-root)crlqueryurl--定义注册的方法(ca-root)root{CEPurl|TFTPserverfile|PROXYurl}(5)认证CA(global)cryptocaauthenticatename(6)用CA注册路由器(global)cryptocaenrollname4、(rsa-encr)手工配置RSA密钥(不使用CA)(1)产生RSA密钥(global)cryptokeygeneratersa(2)指定对等端的ISAKMP标识(global)cryptoisakmpidentity{address|hostname}(3)指定其他所有对等端的RSA密钥--配置公共密钥链(global)cryptokeypu
本文标题:VPN实例配置方案
链接地址:https://www.777doc.com/doc-5481188 .html