宏电技术H7921&H8921S与Cisco VPN配置实例

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

GRE配置实例深圳市宏电技术股份有限公司地址:深圳市滨河大道上沙创新科技园14栋4-6楼电话:(755)88864288传真:(755)83404677邮政编码:518048网址::GenericRoutingEncapsulation通用路由封装GRE协议是对某些网络层协议(如IP和IPX)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IP)中传输。GRE采用了Tunnel(隧道)技术,是VPN(VirtualPrivateNetwork)的第三层隧道协议。1、Cisco配置Hongdian2811#conft//进入配置模式Enterconfigurationcommands,oneperline.EndwithCNTL/Z.Hongdian2811(config)#interfacetunnel0//创建并配置tunnel接口,0为接口号Hongdian2811(config-if)#ipaddress192.168.200.1255.255.255.0//配置tunnel接口虚拟IPHongdian2811(config-if)#tunnelsourcefastEthernet0/0//绑定本地接口,也可为IP地址Hongdian2811(config-if)#tunneldestination192.168.80.11//设置对端IPHongdian2811(config-if)#noshutdown//uptunnel接口Hongdian2811(config-if)#exit//回到Hongdian2811(config)#iproute192.168.8.0255.255.255.0tunnel0//添加到对端子网的路由,tunnel0也可以是对端虚拟IP192.168.100.2Hongdian2811(config)#exitHongdian2811#write//保存更改的配置Hongdian2811#showrun//查看系统配置备注:每一个目录下都可以通过输入?的方式得到当前可执行的指令和配置。Cisco命令行配置非常便利,只要将showrun得到的配置直接粘贴执行,wr保存即可完成。如:Cisco进入config模式,并且将以下这段配置粘贴执行即可完成上述配置,然后exit退出config模式并wr保存即可。interfaceTunnel0ipaddress192.168.100.1255.255.255.0tunnelsourceFastEthernet0/0tunneldestination192.168.80.11iproute192.168.8.0255.255.255.0tunnel02、宏电路由器配置(H8921)LocalvirtualIP:本地虚拟IP,Cisco通过虚拟IP来添加GRE路由(本例中为192.168.100.2)Localphysicalinterface:选择接口,对应与Cisco的tunnel对端IPRemotevirtualIP:对端虚拟IP,对应Ciscotunnel接口IPRemotephysicalIP:对端IP,对应Cisco的tunnel源IPRemoteSubnet:对端子网及掩码ICMPParams:维持GRE隧道,ICMP的目的地址为对端虚拟IP,如不通则复位GRE进程。GRE配置实例深圳市宏电技术股份有限公司地址:深圳市滨河大道上沙创新科技园14栋4-6楼电话:(755)88864288传真:(755)83404677邮政编码:518048网址:、宏电路由器配置(H8921S)H8921S采用精简的配置方法配置GRE(后续将考虑逐步兼容老版本GRE),简配方式一般用于一对一的方式。对端外网IP:对应Cisco的tunnel源IP对端内网IP:对应Cisco的子网,该子网以tunnel接口IP为网关本地对外接口:选择接口,对应Cisco的对端tunnel对端IP4、注意事项GRE配置较为简单,Cisco的GRE配置需要注意的地方是配置完GRE规则之后需要单独配置路由。对于多GRE隧道,则需考虑tunnel接口的虚拟IP规划,一般建议掩码为30,避免tunnel接口虚拟IP占用过多网络中的IP资源。IPSEC配置实例之USER-ID篇深圳市宏电技术股份有限公司地址:深圳市滨河大道上沙创新科技园14栋4-6楼电话:(755)88864288传真:(755)83404677邮政编码:518048网址:篇为了确保安全性,我们有些时候需要针对不同的终端路由器设置不同的预共享密钥,当终端路由器的IP为固定时很容易解决。但是当终端路由器不固定时就可以通过USER-ID的方式来匹配解决上诉需求。FQDN:(FullyQualifiedDomainName)完全合格域名/全称域名,是指主机名加上全路径,如:@Hongdian2811.mfhuUSER-FQDN:一般为e-mail格式,如:user@hongdian.com1、Cisco配置进入Cisco命令行配置Hongdian2811#conft//进入配置模式Enterconfigurationcommands,oneperline.EndwithCNTL/Z.Hongdian2811(config)#ipdomainnamemfhu//配置domainname,本端ID设置为FQDN时配置,ID为Address或者为USER-FQDN时可以不配置Hongdian2811(config)#cryptoisakmpenable//启用IKEHongdian2811(config)#cryptoisakmppolicy10//创建组策略,可以通过策略号配置多个策略Hongdian2811(config-isakmp)#encryption3des//设置加密方式Hongdian2811(config-isakmp)#hashmd5//设置三列算法Hongdian2811(config-isakmp)#authenticationpre-share//设置认证为预共享密钥方式,即PSKHongdian2811(config-isakmp)#group2//设置DH位数,group2为1024位Hongdian2811(config-isakmp)#lifetime3600//设置IKESA密钥生存时间,单位为sHongdian2811(config-isakmp)#exit//回到上一级目录Hongdian2811(config)#cryptokeyringmfhukey//设置密钥串,也即在此对不同的ID配置不同的预共享密钥Hongdian2811(conf-keyring)#pre-shared-keyhostnamemfhu@H7921key1234//为mfhu@H7921设置预共享密钥1234Hongdian2811(conf-keyring)#pre-shared-keyhostnamemfhu@H8921keyabcd//为mfhu@H8921设置预共享密钥abcdHongdian2811(conf-keyring)#exitHongdian2811(config)#cryptoisakmpprofilemfhu//创建配置文件,可以定义多组对端ID%Aprofileisdeemedincompleteuntilithasmatchidentitystatements//第一次创建会提示配置未完成,继续完成即可Hongdian2811(conf-isa-prof)#self-identityuser-fqdnmfhu@hongdian//设置本端ID,如果采用FQDN模式配置为self-identityfqdn,全域名配置本端ID格式为:@+”hostname”+”.”+”domainname”,本例Cisco的本端ID为:@Hongdian2811.mfhu;另如果不配置此项,则本端默认以绑定接口的IP地址为协商的useridIPSEC配置实例之USER-ID篇深圳市宏电技术股份有限公司地址:深圳市滨河大道上沙创新科技园14栋4-6楼电话:(755)88864288传真:(755)83404677邮政编码:518048网址:(conf-isa-prof)#keyringmfhukey//设置配置文件所调用钥匙串,如果不配置则自动匹配是否符合钥匙串中配置,当有多个钥匙串时,建议配置Hongdian2811(conf-isa-prof)#matchidentityuser-fqdnmfhu@H7921//设置对端ID,可以设置多组Hongdian2811(conf-isa-prof)#matchidentityuser-fqdnmfhu@H8921Hongdian2811(conf-isa-prof)#exitHongdian2811(config)#cryptoisakmpkeepalive305//设置IKEDPD检测间隔和失败次数Hongdian2811(config)#cryptoipsectransform-setxesp-3desesp-md5-hmac//设置IPSEC转换集,并配置IPSEC协商阶段ESP封装的加密和算法Hongdian2811(cfg-crypto-trans)#modetunnel//设置IPSEC变换集模式,默认为tunnel模式Hongdian2811(cfg-crypto-trans)#exitHongdian2811(config)#cryptodynamic-mapy20//设置动态加密映射Hongdian2811(config-crypto-map)#settransform-setx//设置动态加密映射要应用的转换集Hongdian2811(config-crypto-map)#setpfsgroup2//启用PFS,并且密钥长度为group2Hongdian2811(config-crypto-map)#setisakmp-profilemfhu//设置ike协商配置文件Hongdian2811(config-crypto-map)#matchaddress104//为动态加密映射关联ACL(AccessList)Hongdian2811(config-crypto-map)#exitHongdian2811(config)#cryptomapmap110ipsec-isakmpdynamicy//在静态加密映射中调用动态加密映射Hongdian2811(config)#interfacefastEthernet0/0//进入需要应用IPSEC的接口Hongdian2811(config-if)#cryptomapmap1//应用静态映射Hongdian2811(config-if)#exitHongdian2811(config)#ipnatinsidesourcelist110interfaceFastEthernet0/0overload//配置WAN能上公网Hongdian2811(config)#access-list104permitip192.168.88.00.0.0.255192.168.8.00.0.0.255//配置ACL,源地址为192.168.88.0/24目的地址为192.168.8.0/24数据包需经过IPSEC加密Hongdian2811(config)#access-list110denyip192.168.88.00.0.0.255192.168.8.00.0.0.255//禁

1 / 15
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功