資源描述:
《Cisco 路由器上手工方式VPN的實(shí)現(xiàn)》由會員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1、Cisco路由器上手工方式VPN的實(shí)現(xiàn)Cisco路由器上VPN的實(shí)現(xiàn): 1、軟件要求: 需要ENTERPRISEPLUSIPSEC56的IOS,目前使用的比較穩(wěn)定版本是12.07T 2、硬件要求: 8MBFlashand40MBRAM 在DownloadIOS版本時,會提示所Download的IOS版本 的軟硬件要求?! ?、IPSec手工方式的注意事項(xiàng): ?。?)加密通道一旦建立,就不再斷開 ?。?)ManualKey不提供anti-replay的功能 ?。?)在ManualKey方
2、式時,access-list中只有1條permit起作用,其他都被忽略?! 。?)在ManualKey方式下,兩邊的transformset的名字必須一樣?! ?、VPN手工方式需要的主要命令: (1)access-list 設(shè)置access-list,有對符合什么樣條件的IP包進(jìn)行加密。11 ?。?)cryptoisakmp 默認(rèn)是使用cryptoisakmp方式,所以在手工方式下,需要禁止此選項(xiàng)?! 。?)cryptoipsec 配置IPSec的加密方式,選擇manual方式 ?。?)
3、cryptomap 配置IPSec的加密方式 a)setpeer 設(shè)置遠(yuǎn)程VPN網(wǎng)關(guān) b)setsecurity-association 設(shè)置安全聯(lián)盟,主要有inbound和outbound c)settransform-set 設(shè)置加密形式 d)matchaddress 對匹配access-list的進(jìn)行加密。 5、VPN的手工實(shí)現(xiàn)方式: ?。?)配置access-list,對哪些包建立VPN連接?! ccess-list101permitiphost192.168.0.1
4、host 192.168.1.1 (2)取消VPN的自動協(xié)商方式11 nocryptoisakmpenable ?。?)建立一個IPSec的封裝方式—兩邊的路由器需要一樣的名稱。在舉例中是encry-des cryptoipsectransform-setencry-desesp-des ?。?)建立一個VPN連接需要的各種條件—這里是ipsec-manual方式 cryptomapvpntest8ipsec-manual ?。?)在上一步用cryptomap進(jìn)入crypto配置模式
5、a)配置遠(yuǎn)程的VPN網(wǎng)關(guān) setpeer202.106.185.2 b)配置進(jìn)出的安全聯(lián)盟 setsecurity-associationinboundesp1000cipher21authenticator01 配置入境聯(lián)盟加密方式順序號 setsecurity-associationoutboundesp1001cipher12authenticator01 c)設(shè)置IPSec的加密方式 settransform-setencry-des11 d)對匹配地址進(jìn)行加密 matc
6、haddress101 ?。?)在路由器外部網(wǎng)口上綁定加密方式 inte0/1 ipaddr202.106.185.1255.255.255.0 cryptomapvpntest 6、注意事項(xiàng) (1)在兩端的access-list要互為相反,如在A路由器上寫: access-list101permitiphost192.168.0.1host192.168.1.1 則在B路由器上寫: access-list101permitiphost192.168.1.1host192.168.
7、0.1 (2)在兩端的transformset名稱要一致 如都寫cryptoipsectransform-setencry-desesp-des11 ?。?)在一端的inbound就是應(yīng)該相反。另一端的outboud,一端的outbound是另一端的inboud。因此他們的序列好 如在A路由器上寫: setsecurity-associationinboundesp1000cipher21authenticator01 setsecurity-associationoutboundesp
8、1001cipher12authenticator01 則在B路由器上寫: setsecurity-associationinboundesp1001cipher12authenticator01 setsecurity-associationoutboundesp1000cipher21aut11henticator01 (4)總之在使用手工方式時,在兩端的配置應(yīng)該盡量一樣或相對?! ?、應(yīng)用條件 我認(rèn)為在路由器上做VPN主要有以下幾種應(yīng)用: ?。?)可以使用在電信中二