收藏
下载资源下载资源 加入VIP,免费下载

IPsecVPN配置大全.docx

上传人:b****0 文档编号:9259435 上传时间:2023-05-17 格式:DOCX 页数:14 大小:99KB
下载 相关 举报
IPsecVPN配置大全.docx_第1页
第1页 / 共14页
IPsecVPN配置大全.docx_第2页
第2页 / 共14页
IPsecVPN配置大全.docx_第3页
第3页 / 共14页
IPsecVPN配置大全.docx_第4页
第4页 / 共14页
IPsecVPN配置大全.docx_第5页
第5页 / 共14页
IPsecVPN配置大全.docx_第6页
第6页 / 共14页
IPsecVPN配置大全.docx_第7页
第7页 / 共14页
IPsecVPN配置大全.docx_第8页
第8页 / 共14页
IPsecVPN配置大全.docx_第9页
第9页 / 共14页
IPsecVPN配置大全.docx_第10页
第10页 / 共14页
IPsecVPN配置大全.docx_第11页
第11页 / 共14页
IPsecVPN配置大全.docx_第12页
第12页 / 共14页
IPsecVPN配置大全.docx_第13页
第13页 / 共14页
IPsecVPN配置大全.docx_第14页
第14页 / 共14页
亲,该文档总共14页,全部预览完了,如果喜欢就下载吧!
下载资源
资源描述

IPsecVPN配置大全.docx

《IPsecVPN配置大全.docx》由会员分享,可在线阅读,更多相关《IPsecVPN配置大全.docx(14页珍藏版)》请在冰点文库上搜索。

IPsecVPN配置大全.docx

IPsecVPN配置大全

IPsecVPN配置大全(PDF版本见18楼)

给CCSP的学员授课,顺便就总结下.

转载请注明出处:

红头发(akaCCIE#15101)

一.基于PSK的IPsecVPN配置

首先IOS带k的就可以了,支持加密特性,拓扑如下:

topo.jpg(57.02KB)

2008-10-1120:

14

1.R1基本配置:

R1(config)#interfaceloopback0

R1(config-if)#ipaddress10.1.1.1255.255.255.0

R1(config-if)#noshutdown

R1(config-if)#interfaceserial0/0

R1(config-if)#ipaddress  192.168.1.1255.255.255.252

R1(config-if)#clockrate56000

R1(config-if)#noshutdown

R1(config-if)#exit

2.定义感兴趣流量与路由协议:

R1(config)#access-list100permitip10.1.1.00.0.0.25510.2.2.00.0.0.255

R1(config)#iproute0.0.0.00.0.0.0serial0/0

3.全局启用ISAKMP并定义对等体及其PSK(预共享密钥):

R1(config)#cryptoisakmpenable

R1(config)#cryptoisakmpkey91labaddress192.168.1.2

4.定义IKE策略:

R1(config)#cryptoisakmppolicy10

R1(config-isakmp)#encryptionaes128    /---默认是DES加密---/

R1(config-isakmp)#hashsha        /---默认是SHA-1---/

R1(config-isakmp)#authenticationpre-share    

R1(config-isakmp)#group2        /---默认是768位的DH1---/

R1(config-isakmp)#lifetime3600      /---默认是86400秒---/

R1(config-isakmp)#exit

5.定义IPSec转换集(transformset):

R1(config)#cryptoipsectransform-setttesp-aes128esp-sha-hmac

R1(cfg-crypto-trans)#modetunnel

R1(cfg-crypto-trans)#exit

6.定义cryptomap并应用在接口上:

R1(config)#cryptomapcisco10ipsec-isakmp

R1(config-crypto-map)#matchaddress100    

R1(config-crypto-map)#setpeer192.168.1.2    /---定义要应用cryptomap的对等体地址---/

R1(config-crypto-map)#settransform-settt    /---定义cryptomap要应用的IPsec转换集---/

R1(config-crypto-map)#exit

R1(config)#interfaceserial0/0

R1(config-if)#cryptomapcisco

*Mar  100:

08:

31.131:

%CRYPTO-6-ISAKMP_ON_OFF:

ISAKMPisON

R1(config-if)#end

R1#

R1配置完成.

同理,R2相关配置如下:

!

!

cryptoisakmppolicy10

encraes

authenticationpre-share

group2  

cryptoisakmpkey91labaddress192.168.1.1

!

!

cryptoipsectransform-setttesp-aesesp-sha-hmac

!

cryptomapcisco10ipsec-isakmp

setpeer192.168.1.1

settransform-settt

matchaddress100

!

!

!

!

interfaceLoopback0

ipaddress10.2.2.1255.255.255.0

!

interfaceSerial0/0

ipaddress192.168.1.2255.255.255.252

cryptomapcisco

!

iproute0.0.0.00.0.0.0Serial0/0

!

access-list100permitip10.2.2.00.0.0.25510.1.1.00.0.0.255

二.采用积极模式并PSK的IPsecVPN配置

1.R1基本配置:

R1(config)#interfaceloopback0

R1(config-if)#ipaddress10.1.1.1255.255.255.0

R1(config-if)#noshutdown

R1(config-if)#interfaceserial0/0

R1(config-if)#ipaddress  192.168.1.1255.255.255.252

R1(config-if)#clockrate56000

R1(config-if)#noshutdown

R1(config-if)#exit

2.定义感兴趣流量与路由协议:

R1(config)#access-list100permitip10.1.1.00.0.0.25510.2.2.00.0.0.255

R1(config)#iproute0.0.0.00.0.0.0serial0/0

3.全局启用ISAKMP并定义对等体及其PSK(预共享密钥),采用积极模式:

R1(config)#cryptoisakmpenable

R1(config)#cryptoisakmppeeraddress192.168.1.2

R1(config-isakmp-peer)#setaggressive-modeclient-endpointipv4-address192.168.1.1  

R1(config-isakmp-peer)#setaggressive-modepassword91lab

4.定义IKE策略:

R1(config)#cryptoisakmppolicy10

R1(config-isakmp)#encryptionaes128    /---默认是DES加密---/

R1(config-isakmp)#hashsha        /---默认是SHA-1---/

R1(config-isakmp)#authenticationpre-share    

R1(config-isakmp)#group2        /---默认是768位的DH1---/

R1(config-isakmp)#lifetime3600      /---默认是86400秒---/

R1(config-isakmp)#exit

5.定义IPSec转换集(transformset):

R1(config)#cryptoipsectransform-setttesp-aes128esp-sha-hmac

R1(cfg-crypto-trans)#modetunnel

R1(cfg-crypto-trans)#exit

6.定义cryptomap并应用在接口上:

R1(config)#cryptomapcisco10ipsec-isakmp

R1(config-crypto-map)#matchaddress100    

R1(config-crypto-map)#setpeer192.168.1.2    /---定义要应用cryptomap的对等体地址---/

R1(config-crypto-map)#settransform-settt    /---定义cryptomap要应用的IPsec转换集---/

R1(config-crypto-map)#exit

R1(config)#interfaceserial0/0

R1(config-if)#cryptomapcisco

*Mar  100:

08:

31.131:

%CRYPTO-6-ISAKMP_ON_OFF:

ISAKMPisON

R1(config-if)#end

R1#

R1配置完成.

同理,R2配置如下:

!

!

cryptoisakmppolicy10

encraes

authenticationpre-share

group2  

!

cryptoisakmppeeraddress192.168.1.1

setaggressive-modepassword91lab

setaggressive-modeclient-endpointipv4-address192.168.1.1

!

!

cryptoipsectransform-setttesp-aesesp-sha-hmac

!

cryptomapcisco10ipsec-isakmp

setpeer192.168.1.1

settransform-settt

matchaddress100

!

!

!

!

interfaceLoopback0

ipaddress10.2.2.1255.255.255.0

!

interfaceSerial0/0

ipaddress192.168.1.2255.255.255.252

cryptomapcisco

!

iproute0.0.0.00.0.0.0Serial0/0

!

access-list100permitip10.2.2.00.0.0.25510.1.1.00.0.0.255

!

三.GRE隧道与IPsec的结合

GRE隧道本身不带安全特性,可以通过结合基于PSK的IPsec来实现安全功能.拓扑如下:

1.R1基本配置:

R1(config)#interfaceloopback0

R1(config-if)#ipaddress10.1.1.1255.255.255.0

R1(config-if)#noshutdown

R1(config-if)#interfaceserial0/0

R1(config-if)#ipaddress  192.168.1.1255.255.255.252

R1(config-if)#clockrate56000

R1(config-if)#noshutdown

R1(config)#interfacetunnel0

R1(config-if)#ipunnumberedserial0/0

/---所谓“借用IP地址”实际就是:

一个接口上没有配置IP地址,但是还想使用该接口。

就向其它有IP地址的接口借一个IP地址来。

如果被借用接口有多个IP地址,只能借来主IP地址。

如果被借用接口没有IP地址,则借用接口的IP地址为0.0.0.0。

该功能通过Ipunnumbered命令来实现。

---/

R1(config-if)#tunnelsourceserial0/0/---隧道源接口---/

R1(config-if)#tunneldestination192.168.1.1/---隧道目的接口---/

R1(config-if)#tunnelmodegreip    /---可以不打,默认即为GRE---/

R1(config-if)#noshutdown

R1(config-if)#exit

2.定义感兴趣流量与路由协议:

R1(config)#access-list100permitgrehost192.168.1.1host192.168.1.2

R1(config)#iproute0.0.0.00.0.0.0serial0/0

R1(config)#iproute10.2.2.0255.255.255.0serial0/0

3.全局启用ISAKMP并定义对等体及其PSK(预共享密钥):

R1(config)#cryptoisakmpenable

R1(config)#cryptoisakmpkey91labaddress192.168.1.2

4.定义IKE策略:

R1(config)#cryptoisakmppolicy10

R1(config-isakmp)#encryptiondes128    /---默认是DES加密---/

R1(config-isakmp)#hashsha        /---默认是SHA-1---/

R1(config-isakmp)#authenticationpre-share    

R1(config-isakmp)#group2        /---默认是768位的DH1---/

R1(config-isakmp)#lifetime3600      /---默认是86400秒---/

R1(config-isakmp)#exit

5.定义IPSec转换集(transformset):

R1(config)#cryptoipsectransform-setttesp-aes128esp-sha-hmac

R1(cfg-crypto-trans)#modetunnel

R1(cfg-crypto-trans)#exit

6.定义cryptomap并应用在接口上:

R1(config)#cryptomapcisco10ipsec-isakmp

R1(config-crypto-map)#matchaddress100    

R1(config-crypto-map)#setpeer192.168.1.2    /---定义要应用cryptomap的对等体地址---/

R1(config-crypto-map)#settransform-settt    /---定义cryptomap要应用的IPsec转换集---/

R1(config-crypto-map)#exit

R1(config)#interfaceserial0/0

R1(config-if)#cryptomapcisco

*Mar  100:

08:

31.131:

%CRYPTO-6-ISAKMP_ON_OFF:

ISAKMPisON

R1(config-if)#end

R1#

R1配置完成.

同理,R2相关配置如下:

!

!

cryptoisakmppolicy10

encraes

authenticationpre-share

group2  

cryptoisakmpkey91labaddress192.168.1.1

!

!

cryptoipsectransform-setttesp-aesesp-sha-hmac

!

cryptomapcisco10ipsec-isakmp

setpeer192.168.1.1

settransform-settt

matchaddress100

!

!

!

interfaceTunnel0

ipunnumberedSerial0/0

tunnelsourceSerial0/0

tunneldestination192.168.1.1

!

interfaceLoopback0

ipaddress10.2.2.1255.255.255.0

!

interfaceSerial0/0

ipaddress192.168.1.2255.255.255.252

cryptomapcisco

!

iproute0.0.0.00.0.0.0Serial0/0

!

access-list100permitgrehost10.2.2.1host10.1.1.1

!

四.IPsecVPN的高可用性

通常情况下,我们希望IPsecVPN流量可以在主从路由器之间做到无缝切换,可以通过HSRP与SSO相结合的方式来达到此目的.HSRP用于保证接入流量的热备份.一旦主路由器down掉后,HSRP立即将IKE信息与SA传递给备份路由器;而SSO允许主从路由器之间共享IKE与SA信息.

topo.jpg(66.28KB)

2008-10-1519:

48

SPOKE配置如下:

1.定义感兴趣流量与路由协议:

SPOKE(config)#access-list100permitip10.1.1.00.0.0.25510.2.2.00.0.0.255

SPOKE(config)#iproute0.0.0.00.0.0.0serial0/0

2.全局启用ISAKMP并定义对等体及其PSK(预共享密钥):

SPOKE(config)#cryptoisakmpenable

SPOKE(config)#cryptoisakmpkey91labaddress0.0.0.00.0.0.0

3.定义IKE策略:

SPOKE(config)#cryptoisakmppolicy10

SPOKE(config-isakmp)#encryptionaes128    /---默认是DES加密---/

SPOKE(config-isakmp)#hashsha        /---默认是SHA-1---/

SPOKE(config-isakmp)#authenticationpre-share    

SPOKE(config-isakmp)#group2        /---默认是768位的DH1---/

SPOKE(config-isakmp)#lifetime3600      /---默认是86400秒---/

SPOKE(config-isakmp)#exit

4.定义IPSec转换集(transformset):

SPOKE(config)#cryptoipsectransform-setnuaikoesp-aes128esp-sha-hmac

SPOKE(cfg-crypto-trans)#exit

5.定义cryptomap并应用在接口上:

SPOKE(config)#cryptomapccsp10ipsec-isakmp

SPOKE(config-crypto-map)#matchaddress100    

SPOKE(config-crypto-map)#setpeer16.1.1.254  /---定义cryptomap的对等体地址,这里为对端HSRP的虚拟IP地址---/

SPOKE(config-crypto-map)#settransform-setnuaiko    /---定义cryptomap要应用的IPsec转换集---/

SPOKE(config-crypto-map)#exit

SPOKE(config)#interfaceserial0/0

SPOKE(config-if)#cryptomapccsp

*Mar  100:

08:

31.131:

%CRYPTO-6-ISAKMP_ON_OFF:

ISAKMPisON

SPOKE(config-if)#end

SPOKE#

SPOKE配置完成.

HUB1配置如下:

1.定义感兴趣流量与路由协议:

HUB1(config)#access-list100permitip10.2.2.00.0.0.25510.1.1.00.0.0.255

HUB1(config)#iproute0.0.0.00.0.0.016.1.1.3

2.全局启用ISAKMP并定义对等体及其PSK(预共享密钥):

HUB1(config)#cryptoisakmpenable

HUB1(config)#cryptoisakmpkey91labaddress0.0.0.00.0.0.0

3.定义IKE策略:

HUB1(config)#cryptoisakmppolicy10

HUB1(config-isakmp)#encryptionaes128    /---默认是DES加密---/

HUB1(config-isakmp)#hashsha        /---默认是SHA-1---/

HUB1(config-isakmp)#authenticationpre-share    

HUB1(config-isakmp)#group2        /---默认是768位的DH1---/

HUB1(config-isakmp)#lifetime3600      /---默认是86400秒---/

HUB1(config-isakmp)#exit

4.定义IPSec转换集(transformset):

HUB1(config)#cryptoipsectransform-setnuaikoesp-aes128esp-sha-hmac

HUB1(cfg-crypto-trans)#exit

5.定义cryptomap:

HUB1(config)#cryptomapccsp10ipsec-isakmp

HUB1(config-crypto-map)#matchaddress100    

HUB1(config-crypto-map)#setpeer173.1.1.1  /---定义要应用cryptomap的对等体地址---/

HUB1(config-crypto-map)#settransform-setnuaiko    /-

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 医药卫生

copyright@ 2008-2023 冰点文库 网站版权所有

经营许可证编号:鄂ICP备19020893号-2