实验]ipsec VPN 站点到站点配置

admin · 发表于 2010-8-12 08:36:44

实验]ipsec VPN 站点到站点配置

[Security实验]ipsec VPN 站点到站点配置
首先讲解：VPN：虚拟专用链接，增加数据传输的安全性！
1、ipsecVPN建立需要三个阶段
IKE第一阶段：
左边的为R1
配置如下：Router(config)#line con 0
Router(config-line)#logg sy
Router(config-line)#exec-t 0 0
Router(config-line)#no ip do lo
Router(config-line)#ho R1
R1(config)#ho VPN1
VPN1(config)#crypto isakmp  enable  //开启加密功能//
VPN1(config)#crypto isakmp policy 10  //定义机密策略，这个“10”为策略的优先级，值越低，优先级越高//
VPN1(config-isakmp)# hash md5 //定义hash 校验方式（数据校验）//
VPN1(config-isakmp)# authentication pre-share  //认证模式为预共享模式//
VPN1(config-isakmp)#encryption des（数据加密的算法，双方也要相同）
VPN1(config-isakmp)#group 1 //这里还有group 2比group 1更强大，双方要相同//
VPN1(config-isakmp)#lifetime 86400
VPN1(config)#crypto isakmp identity address  //定义身份验证的方式是以地址还是hostname//
VPN1(config)#crypto isakmp key 0 cisco address 22.22.22.22 255.255.255.0  //定义双方认证的密码，注意这里的address后面一定是对端的物理接口上的地址，并且双方的密码要一样//

IKE第二阶段：
VPN1(config)#crypto ipsec transform-set ccna esp-des esp-md5-hmac //定义数据加密解密转换的模式//
VPN1(config)#crypto ipsec security-association lifetime seconds 86400 //ipsec保持时间//
VPN1(config)#access-list 100 permit ip  1.1.1.0 0.0.0.255 2.2.2.2 0.0.0.255 // 这条一定要有，只让需要加密的数据穿过，其他的拒绝从VPN通道中过去//
VPN1(config)#crypto map ccna 1 ipsec-isakmp  //定义加密映射参数//
VPN1(config-crypto-map)#match address 100 //匹配上面定义的ACL//
VPN1(config-crypto-map)#set peer 22.22.22.22  //如果符合上面的，那么设定对端为22.22.22.22//
VPN1(config-crypto-map)#set transform-set ccna //符合上面的ACL，用下面的转换方式//
VPN1(config-crypto-map)#set security-association lifetime seconds 86400
IKE第三阶段：接口绑定
VPN1(config-crypto-map)#int f0/0
VPN1(config-if)#crypto map ccna
VPN1(config)#ip route 0.0.0.0 0.0.0.0 f0/0 //一定要让1.1.1.0网络的数据出去//
VPN1#ping  //用扩展ping来测试连通性//
Protocol [ip]:
Target IP address: 2.2.2.2
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 1.1.1.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 48/127/288 ms
整个过程完毕

转自鸿鹄论坛：http://bbs.hh010.com/forum.php?mod=viewthread&tid=32049

7777 · 发表于 2010-9-24 07:43:07

看看谢谢了。。。。。。。。。

liuliang9767 · 发表于 2010-10-18 15:25:41

http://www.taocaibang.com/job.php?mod=view&jid=62355
美团网资深研发工程师_PHP
发布时间：2010-09-28 工作年限：不限工作方式：全职薪金待遇：面议性别要求：不限招聘人数：6 到期时间：2010-10-28 户口要求：无要求工作部门：技术部职位描述:

智_生_于_乐 · 发表于 2011-12-1 10:39:24

ganxie

comservice · 发表于 2011-12-20 16:02:28

dddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddd

gerry2011 · 发表于 2013-3-2 08:34:27

謝謝開版大大提供資料

mhchen2012 · 发表于 2013-3-2 12:03:34

皇家禁卫队 · 发表于 2013-3-5 15:55:29

看帖子的要发表下看法

wzvb882 · 发表于 2013-3-7 09:16:16

很好的配置实例，感谢分享！！！！！

spreadfame · 发表于 2014-2-8 09:49:47

nunsn · 发表于 2014-2-20 08:27:28

Reapeyron · 发表于 2014-3-6 16:43:53

sltata · 发表于 2014-6-18 13:40:15

dddddddddddddddddddddddddddddddd

spreadfame · 发表于 2014-8-25 23:18:32

chenyhyy · 发表于 2014-11-21 09:17:40

顶、、、、、、、、、、、、、、

账号		自动登录	找回密码
密码			论坛注册

实验]ipsec VPN 站点到站点配置

浏览过的版块

客服中心

投诉建议