宏电技术H7921&H8921S与Cisco VPN配置实例

GRE配置实例深圳市宏电技术股份有限公司地址:深圳市滨河大道上沙创新科技园14栋4-6楼电话：(755)88864288传真：(755)83404677邮政编码：518048网址：：GenericRoutingEncapsulation通用路由封装GRE协议是对某些网络层协议（如IP和IPX）的数据报文进行封装，使这些被封装的数据报文能够在另一个网络层协议（如IP）中传输。GRE采用了Tunnel（隧道）技术，是VPN（VirtualPrivateNetwork）的第三层隧道协议。1、Cisco配置Hongdian2811#conft//进入配置模式Enterconfigurationcommands,oneperline.EndwithCNTL/Z.Hongdian2811(config)#interfacetunnel0//创建并配置tunnel接口，0为接口号Hongdian2811(config-if)#ipaddress192.168.200.1255.255.255.0//配置tunnel接口虚拟IPHongdian2811(config-if)#tunnelsourcefastEthernet0/0//绑定本地接口，也可为IP地址Hongdian2811(config-if)#tunneldestination192.168.80.11//设置对端IPHongdian2811(config-if)#noshutdown//uptunnel接口Hongdian2811(config-if)#exit//回到Hongdian2811(config)#iproute192.168.8.0255.255.255.0tunnel0//添加到对端子网的路由，tunnel0也可以是对端虚拟IP192.168.100.2Hongdian2811(config)#exitHongdian2811#write//保存更改的配置Hongdian2811#showrun//查看系统配置备注：每一个目录下都可以通过输入？的方式得到当前可执行的指令和配置。Cisco命令行配置非常便利，只要将showrun得到的配置直接粘贴执行，wr保存即可完成。如：Cisco进入config模式，并且将以下这段配置粘贴执行即可完成上述配置，然后exit退出config模式并wr保存即可。interfaceTunnel0ipaddress192.168.100.1255.255.255.0tunnelsourceFastEthernet0/0tunneldestination192.168.80.11iproute192.168.8.0255.255.255.0tunnel02、宏电路由器配置（H8921）LocalvirtualIP：本地虚拟IP，Cisco通过虚拟IP来添加GRE路由（本例中为192.168.100.2）Localphysicalinterface：选择接口，对应与Cisco的tunnel对端IPRemotevirtualIP：对端虚拟IP，对应Ciscotunnel接口IPRemotephysicalIP：对端IP，对应Cisco的tunnel源IPRemoteSubnet：对端子网及掩码ICMPParams：维持GRE隧道，ICMP的目的地址为对端虚拟IP，如不通则复位GRE进程。GRE配置实例深圳市宏电技术股份有限公司地址:深圳市滨河大道上沙创新科技园14栋4-6楼电话：(755)88864288传真：(755)83404677邮政编码：518048网址：、宏电路由器配置（H8921S）H8921S采用精简的配置方法配置GRE（后续将考虑逐步兼容老版本GRE），简配方式一般用于一对一的方式。对端外网IP：对应Cisco的tunnel源IP对端内网IP：对应Cisco的子网，该子网以tunnel接口IP为网关本地对外接口：选择接口，对应Cisco的对端tunnel对端IP4、注意事项GRE配置较为简单，Cisco的GRE配置需要注意的地方是配置完GRE规则之后需要单独配置路由。对于多GRE隧道，则需考虑tunnel接口的虚拟IP规划，一般建议掩码为30，避免tunnel接口虚拟IP占用过多网络中的IP资源。IPSEC配置实例之USER-ID篇深圳市宏电技术股份有限公司地址:深圳市滨河大道上沙创新科技园14栋4-6楼电话：(755)88864288传真：(755)83404677邮政编码：518048网址：篇为了确保安全性，我们有些时候需要针对不同的终端路由器设置不同的预共享密钥，当终端路由器的IP为固定时很容易解决。但是当终端路由器不固定时就可以通过USER-ID的方式来匹配解决上诉需求。FQDN：(FullyQualifiedDomainName)完全合格域名/全称域名，是指主机名加上全路径，如：@Hongdian2811.mfhuUSER-FQDN：一般为e-mail格式，如：user@hongdian.com1、Cisco配置进入Cisco命令行配置Hongdian2811#conft//进入配置模式Enterconfigurationcommands,oneperline.EndwithCNTL/Z.Hongdian2811(config)#ipdomainnamemfhu//配置domainname，本端ID设置为FQDN时配置，ID为Address或者为USER-FQDN时可以不配置Hongdian2811(config)#cryptoisakmpenable//启用IKEHongdian2811(config)#cryptoisakmppolicy10//创建组策略，可以通过策略号配置多个策略Hongdian2811(config-isakmp)#encryption3des//设置加密方式Hongdian2811(config-isakmp)#hashmd5//设置三列算法Hongdian2811(config-isakmp)#authenticationpre-share//设置认证为预共享密钥方式，即PSKHongdian2811(config-isakmp)#group2//设置DH位数，group2为1024位Hongdian2811(config-isakmp)#lifetime3600//设置IKESA密钥生存时间，单位为sHongdian2811(config-isakmp)#exit//回到上一级目录Hongdian2811(config)#cryptokeyringmfhukey//设置密钥串，也即在此对不同的ID配置不同的预共享密钥Hongdian2811(conf-keyring)#pre-shared-keyhostnamemfhu@H7921key1234//为mfhu@H7921设置预共享密钥1234Hongdian2811(conf-keyring)#pre-shared-keyhostnamemfhu@H8921keyabcd//为mfhu@H8921设置预共享密钥abcdHongdian2811(conf-keyring)#exitHongdian2811(config)#cryptoisakmpprofilemfhu//创建配置文件，可以定义多组对端ID%Aprofileisdeemedincompleteuntilithasmatchidentitystatements//第一次创建会提示配置未完成，继续完成即可Hongdian2811(conf-isa-prof)#self-identityuser-fqdnmfhu@hongdian//设置本端ID，如果采用FQDN模式配置为self-identityfqdn，全域名配置本端ID格式为：@+”hostname”+”.”+”domainname”，本例Cisco的本端ID为：@Hongdian2811.mfhu；另如果不配置此项，则本端默认以绑定接口的IP地址为协商的useridIPSEC配置实例之USER-ID篇深圳市宏电技术股份有限公司地址:深圳市滨河大道上沙创新科技园14栋4-6楼电话：(755)88864288传真：(755)83404677邮政编码：518048网址：(conf-isa-prof)#keyringmfhukey//设置配置文件所调用钥匙串，如果不配置则自动匹配是否符合钥匙串中配置，当有多个钥匙串时，建议配置Hongdian2811(conf-isa-prof)#matchidentityuser-fqdnmfhu@H7921//设置对端ID，可以设置多组Hongdian2811(conf-isa-prof)#matchidentityuser-fqdnmfhu@H8921Hongdian2811(conf-isa-prof)#exitHongdian2811(config)#cryptoisakmpkeepalive305//设置IKEDPD检测间隔和失败次数Hongdian2811(config)#cryptoipsectransform-setxesp-3desesp-md5-hmac//设置IPSEC转换集，并配置IPSEC协商阶段ESP封装的加密和算法Hongdian2811(cfg-crypto-trans)#modetunnel//设置IPSEC变换集模式，默认为tunnel模式Hongdian2811(cfg-crypto-trans)#exitHongdian2811(config)#cryptodynamic-mapy20//设置动态加密映射Hongdian2811(config-crypto-map)#settransform-setx//设置动态加密映射要应用的转换集Hongdian2811(config-crypto-map)#setpfsgroup2//启用PFS，并且密钥长度为group2Hongdian2811(config-crypto-map)#setisakmp-profilemfhu//设置ike协商配置文件Hongdian2811(config-crypto-map)#matchaddress104//为动态加密映射关联ACL（AccessList）Hongdian2811(config-crypto-map)#exitHongdian2811(config)#cryptomapmap110ipsec-isakmpdynamicy//在静态加密映射中调用动态加密映射Hongdian2811(config)#interfacefastEthernet0/0//进入需要应用IPSEC的接口Hongdian2811(config-if)#cryptomapmap1//应用静态映射Hongdian2811(config-if)#exitHongdian2811(config)#ipnatinsidesourcelist110interfaceFastEthernet0/0overload//配置WAN能上公网Hongdian2811(config)#access-list104permitip192.168.88.00.0.0.255192.168.8.00.0.0.255//配置ACL，源地址为192.168.88.0/24目的地址为192.168.8.0/24数据包需经过IPSEC加密Hongdian2811(config)#access-list110denyip192.168.88.00.0.0.255192.168.8.00.0.0.255//禁