收藏
下载资源

2022年Cisco路由器实现IPSECVPN配置 .pdf

上传人:C****o 文档编号:40155464 上传时间:2022-09-08 格式:PDF 页数:5 大小:205.48KB
返回 下载 相关 举报
2022年Cisco路由器实现IPSECVPN配置 .pdf_第1页
第1页 / 共5页
2022年Cisco路由器实现IPSECVPN配置 .pdf_第2页
第2页 / 共5页
点击查看更多>>
资源描述

《2022年Cisco路由器实现IPSECVPN配置 .pdf》由会员分享,可在线阅读,更多相关《2022年Cisco路由器实现IPSECVPN配置 .pdf(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、Cisco 路由器实现IPSEC VPN 配置(站点到站点)目标a.分公司 172.16.10.0/24,网络的主机可以通过VPN访问总部服务器10.10.33.0/24,但不能访问Internet b.分公司的其它客户端(172.16.0.0/24)可以访问 Internet 实验设备1、Cisco路由器(IOS为 12.4)2、客户机3 台,IP地址,见拓扑图,F0/0 连接外网实验步骤R1 上的配置Router(config)#hostname R1 R1(config)#int f0/0 R1(config-if)#ip add 100.0.0.1 255.255.255.0 R1(c

2、onfig-if)#no sh R1(config-if)#int f0/1 R1(config-if)#ip add 172.16.10.254 255.255.255.0 R1(config-if)#no sh/配置默认路由R1(config-if)#ip route 0.0.0.0 0.0.0.0 100.0.0.2 在 IPSEC中,IKE被用来自动协商SA和密钥,如果被关闭用crypto isakmp enable启用名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共 5 页 -R1(config)#crypto isakmp policy 1 /建立 IKE协商策略,编号

3、为1R1(config-isakmp)#encryption 3des /设置加密使用的算法为3DESR1(config-isakmp)#hash sha /设置密钥认证的算法为shaR1(config-isakmp)#authentication pre-share /告诉 router 要先使用预共享密钥,手工指定R1(config-isakmp)#group 2 R1(config-isakmp)#lifetime 10000/声明 SA的生存时间为10000,超过后SA将重新协商R1(config-isakmp)#exit R1(config)#crypto isakmp key 0

4、test address 100.0.0.2/设置加密密钥为test,要求二端的密码相匹配,和对端地址(总部 Router地址)配置访问控制列表注意:1.当一个路由器接收到发往另一个路由器的内部网络报文时,IPSEC 被启动,访问列表被用于确定哪些业务将启动 IKE和 IPSEC协商2.Crypto访问控制列表必须是互为镜像的,如:R1加密了所有流向R2 的 TCP流量,则R2必须加密流回R1的所有 TCP流量R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255/定义从 172.16.10

5、.0 网络发往 10.10.33.0 的报文全部加密/配置 IPSEC传输模式,用于定义VPN 隧道的认证类型,完整性与负载加密R1(config)#crypto ipsec transform-set vpn-set esp-des ah-sha-hmac R1(cfg-crypto-trans)#mode tunnel/可选R1(cfg-crypto-trans)#exit R1(config)#crypto ipsec security-association lifetime seconds 1800/定义生存周期1800 秒/配置 caypt map(加密映射)R1(config)#

6、crypto map test-map 1 ipsec-isakmp/创建 crypto map/IPSEC-ISAKMP表示采用自动协调,名为test-map,编号 1 为优先级,越小优先级越高R1(config-crypto-map)#set peer 100.0.0.2/设定 crypto map所对应的 VPN 链路对端 IPR1(config-crypto-map)#set transform-setvpn-set/指定 crypto map所使用传输模式名R1(config-crypto-map)#match address100/指定此 crypto map使用的访问控制列表R1

7、(config-crypto-map)#exit/将映射应用到对应的接口上,VPN 就可生效了R1(config)#int f0/0 R1(config-if)#crypto map test-map 名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页,共 5 页 -/配置 PATR1(config)#access-list 1 deny 172.16.10.0 0.0.0.255/研发部不能访问InternetR1(config)#access-list 1 permit 172.16.0.0 0.0.255.255/其它部门可以访问InternetR1(config)#ipnat i

8、nside source list 1 interface f0/0overload/在 F0/0 上启用 PATR1(config)#int f0/0 R1(config-if)#ipnat outside R1(config)#int f0/1 R1(config-if)#ipnat inside R2 上的配置(总部上路由器设置)R2(config)#int f0/0 R2(config-if)#ip add 100.0.0.2 255.255.255.0 R2(config-if)#no sh R2(config)#int f0/1 R2(config-if)#ip add 10.10

9、.33.254 255.255.255.0 R2(config-if)#no sh R2(config-if)#ip route 0.0.0.0 0.0.0.0 100.0.0.1/IPSEC VPN的配置,含义与R1基本相同R2(config)#crypto isakmp policy 1/建立 IKE协商策略,编号为1R2(config-isakmp)#encryption 3des R2(config-isakmp)#hash sha/设置密钥认证的算法为shaR2(config-isakmp)#authentication pre-share/告诉 router 要先使用预共享密钥,手

10、工指定R2(config-isakmp)#group 2 R2(config-isakmp)#lifetime 10000 R2(config-isakmp)#exit R2(config)#crypto isakmp key 0 test address 100.0.0.1/设置共享密钥为test,要求二端的密码相匹配,和对端地址(总部 Router地址)R2(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255/定义从 10.10.33.0 网络发往 172.16.10.0 的报文全部加密名

11、师资料总结-精品资料欢迎下载-名师精心整理-第 3 页,共 5 页 -R2(config)#crypto ipsec transform-set vpn-set esp-des ah-sha-hmac/加密算法二边要匹配R2(cfg-crypto-trans)#mode tunnel R2(cfg-crypto-trans)#exit R2(config)#crypto ipsec security-association lifetime seconds 1800 R2(config)#crypto map test-map 1 ipsec-isakmp/IPSEC-ISAKMP表示采用自动

12、协调,名为test-map,编号 1 为优先级,越小优先级越高R2(config-crypto-map)#set peer 100.0.0.1/设定 crypto map所对应的 VPN 链路对端 IPR2(config-crypto-map)#set transform-set vpn-set/指定 crypto map所使用传输模式名R2(config-crypto-map)#match address 100/指定此 crypto map 使用的访问控制列表R2(config-crypto-map)#exit 应用到接口,生效R2(config-crypto-map)#int f0/0R

13、2(config-if)#crypto map test-map相关验证结果的查看命令显示 ISAKMP协商策略的结果R2#sh crypto isakmp policy 查看管理连接SA的状态R2#sh crypto isakmpsa R2#sh crypto ipsec transform-set 显示 IPSEC变换集R2#sh crypto ipsec transform-set 显示数据数据连接SA的细节信息R2#sh crypto ipsecsa 显示 Crypto Map 的信息R2#sh crypto map按上面的配置好后,发现用分公司172.16.10.0/24 可以 pi

14、ng 通 10.10.33.0/24,但是从抓包来看,流量并未使用ipsecvpn,而是直接传输的,ipsecvpn 没有生效。通过抓包发现,采用上面的配置时,若使用172.16.10.0/24 ping 10.10.33.0/24,源地址是100.0.0.1,也就是路由器的外部全局地址,但是ipsec 的隧道兴趣流规则定义是对于源地址为172.16.10.0 0.0.0.255 目标地址为10.10.33.0 0.0.0.255 的流量才使用,于是我认为应该在R1 添加一句access-list 100 permit ip 100.0.0.0 0.0.0.255 10.10.33.0 0.0

15、.0.255 让源地址为100.0.0.1 的流量也是兴趣流。添加后再ping 时,发现 ping 不通 10.10.33.0/24 了,于是抓包,从wireshark名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页,共 5 页 -里面看有quick mode的网络包,说明流量已经是走ipsecvpn了,但是由于某些原因未能通讯上,此时再看 R2 的 CONSOLE,发现有“Processing of Quick mode failed”消息提示。通过检查 R2 的配置,发现兴趣流也没有定义是源地址为100.0.0.2,目上标地址是172.16.10.0 的情况,于是我觉得可能是ipsecvpn协商失败导致的,因为过来的是ipsec流量,但是返回的数据却不是,因而失败。所以我再在R2上添加了一条ACL:access-list 100 permit ip 10.10.33.0 0.0.0.255 100.0.0.0 0.0.0.255,后来再ping就通了,从网络包看也是使用esp封装的。总结:感兴趣流量的源地址和目标地址应该是peer 两端的地址,而不是内网的地址名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页,共 5 页 -

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 教育专区 > 高考资料

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁