Cisco 路由器上手工方式VPN的實(shí)現(xiàn)

Cisco 路由器上手工方式VPN的實(shí)現(xiàn)

ID:39799419

大小:34.50 KB

頁數(shù):11頁

時間:2019-07-11

Cisco 路由器上手工方式VPN的實(shí)現(xiàn)_第1頁
Cisco 路由器上手工方式VPN的實(shí)現(xiàn)_第2頁
Cisco 路由器上手工方式VPN的實(shí)現(xiàn)_第3頁
Cisco 路由器上手工方式VPN的實(shí)現(xiàn)_第4頁
Cisco 路由器上手工方式VPN的實(shí)現(xiàn)_第5頁
資源描述:

《Cisco 路由器上手工方式VPN的實(shí)現(xiàn)》由會員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫。

1、Cisco路由器上手工方式VPN的實(shí)現(xiàn)Cisco路由器上VPN的實(shí)現(xiàn):  1、軟件要求:  需要ENTERPRISEPLUSIPSEC56的IOS,目前使用的比較穩(wěn)定版本是12.07T  2、硬件要求:  8MBFlashand40MBRAM  在DownloadIOS版本時,會提示所Download的IOS版本  的軟硬件要求?! ?、IPSec手工方式的注意事項(xiàng): ?。?)加密通道一旦建立,就不再斷開 ?。?)ManualKey不提供anti-replay的功能 ?。?)在ManualKey方

2、式時,access-list中只有1條permit起作用,其他都被忽略?! 。?)在ManualKey方式下,兩邊的transformset的名字必須一樣?! ?、VPN手工方式需要的主要命令:  (1)access-list  設(shè)置access-list,有對符合什么樣條件的IP包進(jìn)行加密。11 ?。?)cryptoisakmp  默認(rèn)是使用cryptoisakmp方式,所以在手工方式下,需要禁止此選項(xiàng)?! 。?)cryptoipsec  配置IPSec的加密方式,選擇manual方式 ?。?)

3、cryptomap  配置IPSec的加密方式  a)setpeer  設(shè)置遠(yuǎn)程VPN網(wǎng)關(guān)  b)setsecurity-association  設(shè)置安全聯(lián)盟,主要有inbound和outbound  c)settransform-set  設(shè)置加密形式  d)matchaddress  對匹配access-list的進(jìn)行加密。  5、VPN的手工實(shí)現(xiàn)方式: ?。?)配置access-list,對哪些包建立VPN連接?! ccess-list101permitiphost192.168.0.1

4、host  192.168.1.1  (2)取消VPN的自動協(xié)商方式11  nocryptoisakmpenable ?。?)建立一個IPSec的封裝方式—兩邊的路由器需要一樣的名稱。在舉例中是encry-des  cryptoipsectransform-setencry-desesp-des ?。?)建立一個VPN連接需要的各種條件—這里是ipsec-manual方式  cryptomapvpntest8ipsec-manual ?。?)在上一步用cryptomap進(jìn)入crypto配置模式  

5、a)配置遠(yuǎn)程的VPN網(wǎng)關(guān)  setpeer202.106.185.2  b)配置進(jìn)出的安全聯(lián)盟  setsecurity-associationinboundesp1000cipher21authenticator01  配置入境聯(lián)盟加密方式順序號  setsecurity-associationoutboundesp1001cipher12authenticator01  c)設(shè)置IPSec的加密方式  settransform-setencry-des11  d)對匹配地址進(jìn)行加密  matc

6、haddress101 ?。?)在路由器外部網(wǎng)口上綁定加密方式  inte0/1  ipaddr202.106.185.1255.255.255.0  cryptomapvpntest  6、注意事項(xiàng)  (1)在兩端的access-list要互為相反,如在A路由器上寫:  access-list101permitiphost192.168.0.1host192.168.1.1  則在B路由器上寫:  access-list101permitiphost192.168.1.1host192.168.

7、0.1  (2)在兩端的transformset名稱要一致  如都寫cryptoipsectransform-setencry-desesp-des11 ?。?)在一端的inbound就是應(yīng)該相反。另一端的outboud,一端的outbound是另一端的inboud。因此他們的序列好  如在A路由器上寫:  setsecurity-associationinboundesp1000cipher21authenticator01  setsecurity-associationoutboundesp

8、1001cipher12authenticator01  則在B路由器上寫:  setsecurity-associationinboundesp1001cipher12authenticator01  setsecurity-associationoutboundesp1000cipher21aut11henticator01  (4)總之在使用手工方式時,在兩端的配置應(yīng)該盡量一樣或相對?! ?、應(yīng)用條件  我認(rèn)為在路由器上做VPN主要有以下幾種應(yīng)用: ?。?)可以使用在電信中二

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動畫的文件,查看預(yù)覽時可能會顯示錯亂或異常,文件下載后無此問題,請放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫負(fù)責(zé)整理代發(fā)布。如果您對本文檔版權(quán)有爭議請及時聯(lián)系客服。
3. 下載前請仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時可能由于網(wǎng)絡(luò)波動等原因無法下載或下載錯誤,付費(fèi)完成后未能成功下載的用戶請聯(lián)系客服處理。