VPN配置Word格式文档下载.docx
《VPN配置Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《VPN配置Word格式文档下载.docx(25页珍藏版)》请在冰点文库上搜索。
(PrivateNetwork)
:
172.16.1.2/24
10.1.1.254/24
2610的IOS为c2600-jk8o3s-mz.122-8.T5.bin
R1步骤:
1.配置isakmppolicy:
cryptoisakmppolicy1
hashmd5
authenticationpre-share
group2
2.配置vpnclient地址池
cryptoisakmpclientconfigurationaddress-poollocalpool192
iplocalpoolpool192192.168.1.1192.168.1.254
3.配置vpnclient有关参数
cryptoisakmpclientconfigurationgroupvclient-group
(vclient-group就是在vpnclient的连接配置中需要输入的groupauthenticationname。
)
keyvclient-key
(vclient-key就是在vpnclient的连接配置中需要输入的groupauthenticationpassword。
poolpool192(client的ip地址从这里选取)
(以上两个参数必须配置,其他参数还包括domain、dns、wins等,根据情况进行配置。
4.配置ipsectransform-set
cryptoipsectransform-setvclient-tfsesp-desesp-md5-hmac
5.配置map模板
crydynamic-maptemplate-map1
settransform-setvclient-tfs(和第四步对应)
6.配置vpnmap
crymapvpnmap1ipsec-isakmpdynamictemplate-map
(使用第五步配置的map模板)
cryptomapvpnmapisakmpauthorizationlistvclient-group
(使用第三步配置的参数authorization)
cryptomapvpnmapclientconfigurationaddressrespond
(响应client分配地址的请求)
说明几点:
(1)vpnclient使用的ippool地址不能与Router内部网络ip地址重叠。
(2)172.16.1.0网段模拟公网地址,10.1.1.0、20.1.1.0网段用于内部地址,192.168.1.0网段用于vpn通道。
R1的配置:
r1#
r1#shrun
Buildingconfiguration...
Currentconfiguration:
1521bytes
!
version12.2
servicetimestampsdebuguptime
servicetimestampsloguptime
noservicepassword-encryption
hostnamer1
EnablePasswordcisco
ipsubnet-zero
ipauditnotifylog
ipauditpomax-events100
keyvclient-key-cisco
poolvclient-pool
cryptodynamic-maptemplate-map1
settransform-setvclient-tfs
cryptomapvpnmap1ipsec-isakmpdynamictemplate-map
faxinterface-typefax-mail
mtareceivemaximum-recipients0
interfaceFastEthernet0/0
ipaddress20.1.1.254255.255.255.0
interfaceSerial1/0
ipaddress172.16.1.1255.255.255.0
cryptomapvpnmap
nofair-queue
iplocalpoolvclient-pool192.168.1.1192.168.1.254
ipclassless
iproute0.0.0.00.0.0.0Serial1/0
noiphttpserver
ippimbidir-enable
callrsvp-sync
mgcpprofiledefault
dial-peercorcustom
linecon0
login
passcisco
lineaux0
linevty04
end
R2的配置:
r2#
r2#shrun
714bytes
hostnamer2
ipaddress10.1.1.254255.255.255.0
ipaddress172.16.1.2255.255.255.0
clockrate64000
iphttpserver
VPNClient4.01的配置:
建一个connectionentry,参数配置:
name:
任意起一个
host:
填入vpnaccessserver的s0/0地址172.16.1.1
groupauahentication:
name:
vclient-group
password:
vclient-key-cisco
测试:
(1)在pc上运行VPNclient,连接vpnaccessserver。
(2)ipconfig/all,查看获取到的ip地址与其他参数。
(3)在router,showcryisasa,看连接是否成功。
(4)从router,pingclient已经获取到的ip地址,通过。
(5)从client,pingr2的e0/0配置的地址172.16.2.1,通过。
(6)查看vpnclient软件的status--statistics,可以看到加密与解密的数据量。
(7)R1上showcryipsa,也可以查看加密与解密的数据量。
常用调试命令:
showcryptoisakmpsa
showcryptoipsecsa
clearcryptosa
clearcryptoisakmp
debugcryptoisakmp
debugcryptoipsec
sitetositevpn的配置(采用pre-share)
实验网络拓扑:
Router------------------Router
R1接口ip:
s1/0:
192.168.1.1/24f0/0:
192.168.1.2/24f0/0:
172.16.2.1/24
2610的IOS为c2600-jk9s-mz.122-17.bin
步骤:
以R1为例进行配置
1.配置路由
2.定义加密数据的acl
access101permitip172.16.1.00.0.0.255172.16.2.00.0.0.255
3.定义isakmppolicy
authenticationpre-share(采用pre-sharekey进行验证)
(authentication参数必须配置,其他参数如group、hash、encr、lifetime等,如果进行配置,需要注意两个路由器上的对应参数配置必须相同。
4.定义pre-sharekey
cryptoisakmpkeypre-share-keyaddress192.168.1.2
(其中pre-share-key为key,两个路由器上要一样,其中192.168.1.2为peer路由器的ip地址。
)
5.定义transform-set
cryptoipsectransform-setvpn-tfsesp-3desesp-sha-hmac
(其中vpn-tfs为transform-setname,后面两项为加密传输的算法)
(modetransport/tunneltunnel为默认值,此配置可选)
6.定义cryptomapentry
crymapvpn-map10ipsec-isakmp
(其中vpn-map为mapname,10是entry号码,ipsec-isakmp表示采用isakmp进行密钥管理)
matchaddress101(定义进行加密传输的数据,与第二步对应)
setpeer192.168.1.2(定义peer路由器的ip)
settransform-setvpn-tfs(与第五步对应)
(如果一个接口上要对应多个vpnpeer,可以定义多个entry,每个entry对应一个peer)
7.将cryptomap应用到接口上
interf0(vpn通道入口)
crymapvpn-map
8.同样方法配置r2路由器。
R1的完整配置:
1064bytes
noipdomain-lookup
cryptomapvpn-map10ipsec-isakmp
setpeer192.168.1.2
settransform-setvpn-tfs
matchaddress101
interfaceEthernet0/0
nokeepalive
half-duplex
ipaddress192.168.1.1255.255.255.0
routerospf100
log-adjacency-changes
network172.16.1.00.0.0.255area0
network192.168.1.00.0.0.255area0
access-list101permitip172.16.1.00.0.0.255172.16.2.00.0.0.255
R2的完整配置:
1103bytes
usernamer1password0cisco
cryptoisakmpkeypre-share-keyaddress192.168.1.1
setpeer192.168.1.1
ipaddress172.16.2.1255.255.255.0
ipaddress192.168.1.2255.255.255.0
cryptomapvpn-map
network172.16.2.00.0.0.255area0
access-list101permitip172.16.2.00.0.0.255172.16.1.00.0.0.255
End
(1)未将map应用到接口之前,在r1,扩展ping,source192.168.1.1destination172.16.2.1,通过。
扩展ping,source172.16.1.1destination172.16.2.1,通过。
(2)map应用到接口之后,在r1,扩展ping,source192.168.1.1destination172.16.2.1,通过。
查看showcryptoipsecsa,可以看到数据没有通过vpn通道进行传输,因为不符合acl101。
(3)map应用到接口之后,在r1,扩展ping,source172.16.1.1destination172.16.2.1,通过。
查看showcryipsa,可以看到数据通过vpn通道进行传输。
(4)在r2上同样进行测试。
sitetositevpn(采用rsa-encrypted)
Router---------------------Router
以R2为例进行配置
3.生成rsakey
crykeygeneratersageneral-keys(生成GeneralPurposersaKey)
或者crykeygeneratersausage-keys(分别生成rsasigningkey和rsaencryptionkey)
这里统一用generalpurposekey
4.复制peerrouter的publickey到本地router中
(1)在R1上生成generalpurposekey
(2)在R1上showcrykeymypubkeyrsa,(复制其中的GeneralPurposeKey)
(3)在R2上,cryptokeypubkey-chainrsa(设置publickey)
addressed-key10.130.23.244(设置关联10.130.23.244ip地址的key)
key-string(定义key串)
粘贴从R2上复制的(GeneralPurposeKey)
(如果第三步生成了两种key,则这里复制粘贴的,应该是EncryptionKey(三个key中的第二个)(双方都要互相配置)
5.定义isakmppolicy
authenticationrsa-encr(采用rsaEncryptionkey进行验证)
(authentication参数必须配置,其他参数如group、hash、encr、lifetime等,如果进行配置,需要注意两个路由器上的对应参数配置必须相同。
6.定义transform-set
(其中vpn-tfs为transform-setname,后面两项为加密传输的算法)
modetransport/tunnel(tunnel为默认值,此配置可选)
7.定义cryptomapentry
(其中vpn-map为mapname,10是entry号码,ipsec-isakmp表示采用isakmp进行密钥管理)
matchaddress101(定义进行加密传输的数据,与第二步对应)
setpeer192.168.1.1(定义peer路由器的ip)
(如果一个接口上要对应多个vpnpeer,可以定义多个entry,每个entry对应一个peer;
同样,pubkey也要对应进行设置。
8.将cryptomap应用到接口上
interS1/0(vpn通道入口)
9.同样方法配置R2路由器。
R1完整配置:
1379bytes
升级会员 