ImageVerifierCode 换一换
格式:DOCX , 页数:14 ,大小:98.63KB ,
资源ID:18332005      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bingdoc.com/d-18332005.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(IPsecVPN配置过程.docx)为本站会员(b****0)主动上传,冰点文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰点文库(发送邮件至service@bingdoc.com或直接QQ联系客服),我们立即给予删除!

IPsecVPN配置过程.docx

1、IPsecVPN配置过程IPsec_VPN配置过程(供参考学习交流使用)一.基于PSK的IPsec VPN配置首先IOS带k的就可以了,支持加密特性,拓扑如下:topo.jpg (57.02 KB)2008-10-11 20:141.R1基本配置:R1(config)#interface loopback0R1(config-if)#ip address 10.1.1.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#interface serial0/0R1(config-if)#ip address192.168.1.1 255.2

2、55.255.252R1(config-if)#clock rate 56000R1(config-if)#no shutdownR1(config-if)#exit2.定义感兴趣流量与路由协议:R1(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255R1(config)#ip route 0.0.0.0 0.0.0.0 serial0/03.全局启用ISAKMP并定义对等体及其PSK(预共享密钥):R1(config)#crypto isakmp enable R1(config)#crypto is

3、akmp key 91lab address 192.168.1.24.定义IKE策略:R1(config)#crypto isakmp policy 10R1(config-isakmp)#encryption aes 128 /-默认是DES加密-/R1(config-isakmp)#hash sha /-默认是SHA-1-/R1(config-isakmp)#authentication pre-share R1(config-isakmp)#group 2 /-默认是768位的DH1-/R1(config-isakmp)#lifetime 3600 /-默认是86400秒-/R1(co

4、nfig-isakmp)#exit5.定义IPSec转换集(transform set):R1(config)#crypto ipsec transform-set tt esp-aes 128 esp-sha-hmac R1(cfg-crypto-trans)#mode tunnel R1(cfg-crypto-trans)#exit6.定义crypto map并应用在接口上:R1(config)#crypto map cisco 10 ipsec-isakmp R1(config-crypto-map)#match address 100 R1(config-crypto-map)#set

5、 peer 192.168.1.2 /-定义要应用crypto map的对等体地址-/R1(config-crypto-map)#set transform-set tt /-定义crypto map要应用的IPsec转换集-/R1(config-crypto-map)#exitR1(config)#interface serial0/0R1(config-if)#crypto map cisco*Mar1 00:08:31.131: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ONR1(config-if)#endR1#R1配置完成.同理,R2相关配置如下:! !c

6、rypto isakmp policy 10encr aesauthentication pre-sharegroup 2crypto isakmp key 91lab address 192.168.1.1!crypto ipsec transform-set tt esp-aes esp-sha-hmac !crypto map cisco 10 ipsec-isakmp set peer 192.168.1.1set transform-set tt match address 100!interface Loopback0ip address 10.2.2.1 255.255.255.

7、0!interface Serial0/0ip address 192.168.1.2 255.255.255.252crypto map cisco!ip route 0.0.0.0 0.0.0.0 Serial0/0!access-list 100 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255二.采用积极模式并PSK的IPsec VPN配置1.R1基本配置:R1(config)#interface loopback0R1(config-if)#ip address 10.1.1.1 255.255.255.0R1(config-if)#no

8、 shutdownR1(config-if)#interface serial0/0R1(config-if)#ip address192.168.1.1 255.255.255.252R1(config-if)#clock rate 56000R1(config-if)#no shutdownR1(config-if)#exit2.定义感兴趣流量与路由协议:R1(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255R1(config)#ip route 0.0.0.0 0.0.0.0 serial0/0

9、3.全局启用ISAKMP并定义对等体及其PSK(预共享密钥),采用积极模式:R1(config)#crypto isakmp enable R1(config)#crypto isakmp peer address 192.168.1.2R1(config-isakmp-peer)#set aggressive-mode client-endpoint ipv4-address 192.168.1.1 R1(config-isakmp-peer)#set aggressive-mode password 91lab4.定义IKE策略:R1(config)#crypto isakmp polic

10、y 10R1(config-isakmp)#encryption aes 128 /-默认是DES加密-/R1(config-isakmp)#hash sha /-默认是SHA-1-/R1(config-isakmp)#authentication pre-share R1(config-isakmp)#group 2 /-默认是768位的DH1-/R1(config-isakmp)#lifetime 3600 /-默认是86400秒-/R1(config-isakmp)#exit5.定义IPSec转换集(transform set):R1(config)#crypto ipsec trans

11、form-set tt esp-aes 128 esp-sha-hmac R1(cfg-crypto-trans)#mode tunnel R1(cfg-crypto-trans)#exit6.定义crypto map并应用在接口上:R1(config)#crypto map cisco 10 ipsec-isakmp R1(config-crypto-map)#match address 100 R1(config-crypto-map)#set peer 192.168.1.2 /-定义要应用crypto map的对等体地址-/R1(config-crypto-map)#set trans

12、form-set tt /-定义crypto map要应用的IPsec转换集-/R1(config-crypto-map)#exitR1(config)#interface serial0/0R1(config-if)#crypto map cisco*Mar1 00:08:31.131: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ONR1(config-if)#endR1#R1配置完成.同理,R2配置如下:! !crypto isakmp policy 10encr aesauthentication pre-sharegroup 2!crypto isakmp

13、peer address 192.168.1.1set aggressive-mode password 91labset aggressive-mode client-endpoint ipv4-address 192.168.1.1 !crypto ipsec transform-set tt esp-aes esp-sha-hmac !crypto map cisco 10 ipsec-isakmp set peer 192.168.1.1set transform-set tt match address 100!interface Loopback0ip address 10.2.2

14、.1 255.255.255.0!interface Serial0/0ip address 192.168.1.2 255.255.255.252crypto map cisco!ip route 0.0.0.0 0.0.0.0 Serial0/0!access-list 100 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255!三.GRE隧道与IPsec的结合GRE隧道本身不带安全特性,可以通过结合基于PSK的IPsec来实现安全功能.拓扑如下:1.R1基本配置:R1(config)#interface loopback0R1(config-i

15、f)#ip address 10.1.1.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#interface serial0/0R1(config-if)#ip address192.168.1.1 255.255.255.252R1(config-if)#clock rate 56000R1(config-if)#no shutdownR1(config)#interface tunnel 0R1(config-if)#ip unnumbered serial0/0R1(config-if)#tunnel source serial

16、0/0R1(config-if)#tunnel destination 192.168.1.1R1(config-if)#tunnel mode gre ip /-可以不打,默认即为GRE-/R1(config-if)#no shutdownR1(config-if)#exit2.定义感兴趣流量与路由协议:R1(config)#access-list 100 permit gre host 192.168.1.1 host 192.168.1.2R1(config)#ip route 0.0.0.0 0.0.0.0 serial0/0R1(config)#ip route 10.2.2.0 2

17、55.255.255.0 serial0/03.全局启用ISAKMP并定义对等体及其PSK(预共享密钥):R1(config)#crypto isakmp enable R1(config)#crypto isakmp key 91lab address 192.168.1.24.定义IKE策略:R1(config)#crypto isakmp policy 10R1(config-isakmp)#encryption aes 128 /-默认是DES加密-/R1(config-isakmp)#hash sha /-默认是SHA-1-/R1(config-isakmp)#authenticat

18、ion pre-share R1(config-isakmp)#group 2 /-默认是768位的DH1-/R1(config-isakmp)#lifetime 3600 /-默认是86400秒-/R1(config-isakmp)#exit5.定义IPSec转换集(transform set):R1(config)#crypto ipsec transform-set tt esp-aes 128 esp-sha-hmac R1(cfg-crypto-trans)#mode tunnel R1(cfg-crypto-trans)#exit6.定义crypto map并应用在接口上:R1(c

19、onfig)#crypto map cisco 10 ipsec-isakmp R1(config-crypto-map)#match address 100 R1(config-crypto-map)#set peer 192.168.1.2 /-定义要应用crypto map的对等体地址-/R1(config-crypto-map)#set transform-set tt /-定义crypto map要应用的IPsec转换集-/R1(config-crypto-map)#exitR1(config)#interface serial0/0R1(config-if)#crypto map

20、cisco*Mar1 00:08:31.131: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ONR1(config-if)#endR1#R1配置完成.同理,R2相关配置如下:! !crypto isakmp policy 10encr aesauthentication pre-sharegroup 2crypto isakmp key 91lab address 192.168.1.1!crypto ipsec transform-set tt esp-aes esp-sha-hmac !crypto map cisco 10 ipsec-isakmp set p

21、eer 192.168.1.1set transform-set tt match address 100!interface Tunnel0ip unnumbered Serial0/0tunnel source Serial0/0tunnel destination 192.168.1.1!interface Loopback0ip address 10.2.2.1 255.255.255.0!interface Serial0/0ip address 192.168.1.2 255.255.255.252crypto map cisco!ip route 0.0.0.0 0.0.0.0

22、Serial0/0!access-list 100 permit gre host 10.2.2.1 host 10.1.1.1!四.IPsec VPN的高可用性通常情况下,我们希望IPsec VPN流量可以在主从路由器之间做到无缝切换,可以通过HSRP与SSO相结合的方式来达到此目的.HSRP用于保证接入流量的热备份.一旦主路由器down掉后,HSRP立即将IKE信息与SA传递给备份路由器;而SSO允许主从路由器之间共享IKE与SA信息.topo.jpg (66.28 KB)2008-10-15 19:48SPOKE配置如下:1.定义感兴趣流量与路由协议:SPOKE(config)#acce

23、ss-list 100 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255SPOKE(config)#ip route 0.0.0.0 0.0.0.0 serial0/02.全局启用ISAKMP并定义对等体及其PSK(预共享密钥):SPOKE(config)#crypto isakmp enable SPOKE(config)#crypto isakmp key 91lab address 0.0.0.0 0.0.0.03.定义IKE策略:SPOKE(config)#crypto isakmp policy 10SPOKE(config-isakmp

24、)#encryption aes 128 /-默认是DES加密-/SPOKE(config-isakmp)#hash sha /-默认是SHA-1-/SPOKE(config-isakmp)#authentication pre-share SPOKE(config-isakmp)#group 2 /-默认是768位的DH1-/SPOKE(config-isakmp)#lifetime 3600 /-默认是86400秒-/SPOKE(config-isakmp)#exit4.定义IPSec转换集(transform set):SPOKE(config)#crypto ipsec transfo

25、rm-set nuaiko esp-aes 128 esp-sha-hmac SPOKE(cfg-crypto-trans)#exit5.定义crypto map并应用在接口上:SPOKE(config)#crypto map ccsp 10 ipsec-isakmp SPOKE(config-crypto-map)#match address 100 SPOKE(config-crypto-map)#set peer 16.1.1.254 /-定义crypto map的对等体地址,这里为对端HSRP的虚拟IP地址-/SPOKE(config-crypto-map)#set transform

26、-set nuaiko /-定义crypto map要应用的IPsec转换集-/SPOKE(config-crypto-map)#exitSPOKE(config)#interface serial0/0SPOKE(config-if)#crypto map ccsp*Mar1 00:08:31.131: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ONSPOKE(config-if)#endSPOKE#SPOKE配置完成.HUB1配置如下:1.定义感兴趣流量与路由协议:HUB1(config)#access-list 100 permit ip 10.2.2.0 0

27、.0.0.255 10.1.1.0 0.0.0.255HUB1(config)#ip route 0.0.0.0 0.0.0.0 16.1.1.32.全局启用ISAKMP并定义对等体及其PSK(预共享密钥):HUB1(config)#crypto isakmp enable HUB1(config)#crypto isakmp key 91lab address 0.0.0.0 0.0.0.03.定义IKE策略:HUB1(config)#crypto isakmp policy 10HUB1(config-isakmp)#encryption aes 128 /-默认是DES加密-/HUB1(

28、config-isakmp)#hash sha /-默认是SHA-1-/HUB1(config-isakmp)#authentication pre-share HUB1(config-isakmp)#group 2 /-默认是768位的DH1-/HUB1(config-isakmp)#lifetime 3600 /-默认是86400秒-/HUB1(config-isakmp)#exit4.定义IPSec转换集(transform set):HUB1(config)#crypto ipsec transform-set nuaiko esp-aes 128 esp-sha-hmac HUB1(

29、cfg-crypto-trans)#exit5.定义crypto map:HUB1(config)#crypto map ccsp 10 ipsec-isakmp HUB1(config-crypto-map)#match address 100 HUB1(config-crypto-map)#set peer 173.1.1.1 /-定义要应用crypto map的对等体地址-/HUB1(config-crypto-map)#set transform-set nuaiko /-定义crypto map要应用的IPsec转换集-/HUB1(config-crypto-map)#exit6.启用HSRP并应用crypto map:HUB1(config)#interface ethernet 0/0HUB1(config-if)#standby 1 ip 16.1.1.254 /-定义HSRP组1的虚拟IP地址-/HUB1(config-if)#standby 1 priority 105HUB1(config-if)#standby 1

copyright@ 2008-2023 冰点文库 网站版权所有

经营许可证编号:鄂ICP备19020893号-2