用cisco路由器实现VPN实例配置方案

许愿上上签
1 ℃
2020-05-04

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

用cisco路由器实现VPN实例配置方案－中文注解来源：cisco发表时间：2005-11-8Router:sam-i-am(VPNServer)Currentconfiguration:!version12.2servicetimestampsdebuguptimeservicetimestampsloguptimenoservicepassword-encryption!hostnamesam-i-am!ipsubnet-zero!---IKE配置sam-i-am(config)#cryptoisakmppolicy1//定义策略为1sam-i-am(isakmp)#hashmd5//定义MD5散列算法sam-i-am(isakmp)#authenticationpre-share//定义为预共享密钥认证方式sam-i-am(config)#cryptoisakmpkeycisco123address0.0.0.00.0.0.0!---配置预共享密钥为cisco123,对等端为所有IP!---IPSec协议配置sam-i-am(config)#cryptoipsectransform-setrtpsetesp-desesp-md5-hmac!---创建变换集esp-desesp-md5-hmacsam-i-am(config)#cryptodynamic-maprtpmap10//创建动态保密图rtpmap10san-i-am(crypto-map)#settransform-setrtpset//使用上面的定义的变换集rtpsetsan-i-am(crypto-map)#matchaddress115//援引访问列表确定受保护的流量sam-i-am(config)#cryptomaprtptrans10ipsec-isakmpdynamicrtpmap!---将动态保密图集加入到正规的图集中!interfaceEthernet0ipaddress10.2.2.3255.255.255.0noipdirected-broadcastipnatinsidenomopenabled!interfaceSerial0ipaddress99.99.99.1255.255.255.0noipdirected-broadcastipnatoutsidecryptomaprtptrans//将保密映射应用到S0接口上!ipnatinsidesourceroute-mapnonatinterfaceSerial0overload!---这个NAT配置启用了路由策略，内容为10.2.2.0到10.1.1.0的访问不进行地址翻译!---到其他网络的访问都翻译成SO接口的IP地址ipclasslessiproute0.0.0.00.0.0.0Serial0//配置静态路由协议noiphttpserver!access-list115permitip10.2.2.00.0.0.25510.1.1.00.0.0.255access-list115denyip10.2.2.00.0.0.255any!access-list120denyip10.2.2.00.0.0.25510.1.1.00.0.0.255access-list120permitip10.2.2.00.0.0.255any!sam-i-am(config)#route-mapnonatpermit10//使用路由策略sam-i-am(router-map)#matchipaddress120!linecon0transportinputnonelineaux0linevty04passwordwwlogin!endRouter:dr_whoovie(VPNClient)Currentconfiguration:!version12.2servicetimestampsdebuguptimeservicetimestampsloguptimenoservicepassword-encryption!hostnamedr_whoovie!ipsubnet-zero!dr_whoovie(config)#cryptoisakmppolicy1//定义策略为1dr_whoovie(isakmp)#hashmd5//定义MD5散列算法dr_whoovie(isakmp)#authenticationpre-share//定义为预共享密钥认证方式dr_whoovie(config)#cryptoisakmpkeycisco123address99.99.99.1!---配置预共享密钥为cisco123,对等端为服务器端IP99.99.99.1!---IPSec协议配置dr_whoovie(config)#cryptoipsectransform-setrtpsetesp-desesp-md5-hmac!---创建变换集esp-desesp-md5-hmacdr_whoovie(config)#cryptomaprtp1ipsec-isakmp!---使用IKE创建保密图rtp1dr_whoovie(crypto-map)#setpeer99.99.99.1//确定远程对等端dr_whoovie(crypto-map)#settransform-setrtpset//使用上面的定义的变换集rtpsetdr_whoovie(crypto-map)#matchaddress115//援引访问列表确定受保护的流量!interfaceEthernet0ipaddress10.1.1.1255.255.255.0noipdirected-broadcastipnatinsidenomopenabled!interfaceSerial0ipaddressnegotiated//IP地址自动获取noipdirected-broadcastipnatoutsideencapsulationppp//S0接口封装ppp协议noipmroute-cachenoiproute-cachecryptomaprtp//将保密映射应用到S0接口上!ipnatinsidesourceroute-mapnonatinterfaceSerial0overload!---这个NAT配置启用了路由策略，内容为10.1.1.0到10.2.2.0的访问不进行地址翻译!---到其他网络的访问都翻译成SO接口的IP地址ipclasslessiproute0.0.0.00.0.0.0Serial0//配置静态路由协议noiphttpserver!access-list115permitip10.1.1.00.0.0.25510.2.2.00.0.0.255access-list115denyip10.1.1.00.0.0.255anyaccess-list120denyip10.1.1.00.0.0.25510.2.2.00.0.0.255access-list120permitip10.1.1.00.0.0.255any!dialer-list1protocolippermitdialer-list1protocolipxpermitroute-mapnonatpermit10//使用路由策略matchipaddress120!linecon0transportinputnonelineaux0linevty04passwordwwlogin!end-----------IKE配置----------------IPSecVPN对等端为了建立信任关系，必须交换某种形式的认证密钥。Internet密钥交换(InternetKeyExchange，IKE)是一种为IPSec管理和交换密钥的标准方法。一旦两个对等端之间的IKE协商取得成功，那么IKE就创建到远程对等端的安全关联(securityassociation，SA)。SA是单向的；在两个对等端之间存在两个SA。IKE使用UDP端口500进行协商，确保端口500不被阻塞。配置1、（可选）启用或者禁用IKE(global)cryptoisakmpenable或者(global)nocryptoisakmpenable默认在所有接口上启动IKE2、创建IKE策略(1)定义策略(global)cryptoisakmppolicypriority注释：policy1表示策略1，假如想多配几个VPN，可以写成policy2、policy3┅(2)（可选）定义加密算法(isakmp)encryption{des|3des}加密模式可以为56位的DES-CBC(des，默认值)或者168位的3DES(3des)(3)（可选）定义散列算法(isamkp)hash{sha|md5}默认sha(4)（可选）定义认证方式(isamkp)authentication{rsa-sig|rsa-encr|pre-share}rsa-sig要求使用CA并且提供防止抵赖功能；默认值rsa-encr不需要CA，提供防止抵赖功能pre-share通过手工配置预共享密钥(5)（可选）定义Diffie-Hellman标识符(isakmp)group{1|2}注释：除非购买高端路由器，或是VPN通信比较少，否则最好使用group1长度的密钥，group命令有两个参数值：1和2。参数值1表示密钥使用768位密钥，参数值2表示密钥使用1024位密钥，显然后一种密钥安全性高，但消耗更多的CPU时间。(6)（可选）定义安全关联的生命期(isakmp)lifetimeseconds注释：对生成新SA的周期进行调整。这个值以秒为单位，默认值为86400，也就是一天。值得注意的是两端的路由器都要设置相同的SA周期，否则VPN在正常初始化之后，将会在较短的一个SA周期到达中断。3、(rsa-sig)使用证书授权(CA)(1)确保路由器有主机名和域名(global)hostnamehostname(global)ipdomain-namedomain(2)产生RSA密钥(global)cryptokeygeneratersa(3)使用向IPSec对等端发布证书的CA－－设定CA的主机名(global)cryptocaidentityname－－设定联络CA所使用的URL(ca-identity)enrollmenturlurlURL应该采用的形式－－（可选）使用RA模式(ca-identity)enrollmentmodera(ca-identity)queryurlurl－－（可选）设定注册重试参数(ca-identity)enrollmentretryperiodminutes(ca-identity)enrollmentretrycountnumberminutes(1到60；默认为1)number(1到100；默认为0，代表无穷次)－－（可选）可选的证书作废列表(ca-identity)crloptional(4)（可选）使用可信的根CA－－确定可信的根CA(global)cryptocatrusted-rootname－－（可选）从可信的根请求CRL(ca-root)crlqueryurl－－定义注册的方法(ca-root)root{CEPurl|TFTPserverfile|PROXYurl}(5)认证CA(global)cryptocaauthenticatename(6)用CA注册路由器(global)cryptocaenrollname4、(rsa-encr)手工配置RSA密钥（不使用CA）(1)产生RSA密钥(global)cryptokeygeneratersa(2)指定对等端的ISAKMP标识(global)cryptoisakmpidentity{address|hostname}(3)指定其他所有对等端的RSA密钥－－配置公