[cicso-cisco] [cisco-win2008] site-to-site vpn

原创 2015年07月29日 21:39:04

一 网络拓扑图
网络拓扑图
*首先配置思科路由器之间的VPN,两个内网互通以后将右端设备换成windows2008服务器


二 CISCO site-to-site
物理连接图

R1/R2配置

R1#  sh run
Building configuration...

Current configuration : 1832 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
ip subnet-zero
no ip icmp rate-limit unreachable
!
!
ip cef
ip tcp synwait-time 5
no ip domain lookup
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 lifetime 28800
crypto isakmp key pReKeY address 10.1.2.1
!
!
crypto ipsec transform-set transet esp-3des esp-md5-hmac
 mode transport
!
crypto map map1 1 ipsec-isakmp
 set peer 10.1.2.1
 set transform-set transet
 match address 100
!
!
!
!
interface FastEthernet0/0
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 duplex half
!
interface Serial1/0
 ip address 10.1.1.1 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 serial restart-delay 0
 crypto map map1
!
interface Serial1/1
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial1/2
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial1/3
 no ip address
 shutdown
 serial restart-delay 0
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial1/0
!
no ip http server
no ip http secure-server
!
ip nat inside source list 101 interface Serial1/0 overload
!
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
no cdp log mismatch duplex
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
 shutdown
!
!
line con 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
 stopbits 1
line aux 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
 stopbits 1
line vty 0 4
 login
!
!
end

R1#

测试结果


三 CISCO-WIN2008 site-to-site
物理连接图
(两个局域网的网关设备分别是R1和Win2008)

1.开启windows 2008的NAT功能(路由和远程访问)
开启NAT

2.打开安全策略,添加IP安全策略
IP安全策略

3.依次添加IP筛选器(双向)和筛选器操作
3.1)创建IP筛选器一,左至右
IP筛选器一,左至右

3.2)创建IP筛选器一,右至左
IP筛选器一,右至左

3.3)创建筛选器操作
筛选器操作

3.4)创建IP筛选器规则
规则

3.5)IP筛选器属性
属性

4.应用IP策略
应用IP策略

5.开启IPSEC审核查看结果
IPSEC审核

6.测试结果
6.1)互PING、show结果
结果1

6.2)事件查看器+防火墙记录
事件查看器+防火墙记录

6.3)事件查看器详细内容

已建立 IPSec 快速模式安全关联。

本地终结点:
    网络地址:   192.168.2.0
    网络地址掩码: 255.255.255.0
    端口:         0
    隧道终结点:      10.1.2.1

远程终结点:
    网络地址:   192.168.1.0
    网络地址掩码: 255.255.255.0
    端口:         0
    专用地址:       0.0.0.0
    隧道终结点:      10.1.1.1

    协议:     0
    密钥模块名称: -

加密信息:
    完整性算法 - AH: -
    完整性算法 - ESP:    MD5
    加密算法:   3DES

安全关联信息:
    生存时间 - 秒:       3600
    生存时间 - 数据:      4608000
    生存时间 - 数据包: 2147483647
    模式:         隧道
    角色:         响应程序
    快速模式筛选器 ID: 66922
    主模式 SA ID:      113
    快速模式 SA ID:     11

其他信息:
    入站 SPI:     2881199904
    出站 SPI:     3526004510
    虚拟接口隧道 ID:      0
    流量选择器 ID:       0
版权声明:本文为博主原创文章,未经博主允许不得转载。

[cicso-cisco] [cisco-win2008] site-to-site vpn

[cisco - cisco] [cisco - win 2008] site-to-site VPN
  • Runnerchin
  • Runnerchin
  • 2015年07月29日 21:39
  • 1358

cisco路由器上做IPSec-VPN

session 1 ipsec知识点 IPsec(IP Security)ip安全的简称     在实施VPN时,除了实现隧道功能以外,还要实现数据安全,两者缺一不可;在隧道方面,之前所讲...
  • alone_map
  • alone_map
  • 2016年07月06日 16:10
  • 4733

client-to-siteVPN和site-to-siteVPN配置详情

client-to-site VPN配置   拓扑图如下
  • KongkOngL
  • KongkOngL
  • 2014年11月04日 17:50
  • 1231

在NAT环境中实现Site-to-Site VPN

拓扑如下 网络环境介绍: site1和site2通过NAT的方式连接到ISP,现在要求通过使用site-to-site VPN来实现site1和site2内网之间的...
  • Galdys
  • Galdys
  • 2012年11月23日 00:39
  • 4828

Ubuntu 14.04 搭建 Cisco IPSec VPN 服务器教程bei

转载做记录https://lvjie.me/article/0011 背景 iOS 和 OS X 都自带 Cisco IPSec VPN 客户端,使用起来非常方便,安全性也比 PP...
  • infsafe
  • infsafe
  • 2015年04月14日 14:42
  • 9755

强叔侃墙 VPN篇 IPSec引入数字证书,身份认证简单便捷

在前面两篇贴子中,天地会总舵和分舵的网关进行身份认证时都是使用预共享密钥方式。单从配置过程来说,该方式配置简单,只需在总舵和分舵的网关上配置相同的密钥即可。但随着分舵数量越来越多,总舵和每个分舵之间形...
  • nanfeng1686
  • nanfeng1686
  • 2015年05月15日 11:45
  • 1649

CISCO Site-to-Site IPSEC VPN -- 与天融信设备互联

      某单位原先采用天融信防火墙做VPN组建网络,概念图如上。近日1台天融信设备反复死机,无法继续正常使用。找了一台CISCO 2691顶踢原先的天融信设备。 需求:1。10.10.0.100 ...
  • delicioustian
  • delicioustian
  • 2011年04月18日 17:29
  • 3189

动态地址Site-to-Site VPN

利用Internet 出口线路建立VPN通道实现总、分公司之间的互联,是目前许多公司热衷的方案。以往要建立这样的VPN,需要至少一端使用静态的IP地址。当前很多公司都通过ADSL方式上网,如果要求电信...
  • Galdys
  • Galdys
  • 2012年11月23日 18:23
  • 727

cisco防火墙ipsec配置

inerface loopback0     ip address 1.1.1.1 255.255.255.0 crypto isakmp policy 10     hash md5    ...
  • zjc801
  • zjc801
  • 2016年10月21日 16:16
  • 493

Cisco IPSec VPN 实战指南

Cisco IPSec VPN 实战指南
  • LinuxKernelCiscoIOS
  • LinuxKernelCiscoIOS
  • 2017年01月16日 18:06
  • 726
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:[cicso-cisco] [cisco-win2008] site-to-site vpn
举报原因:
原因补充:

(最多只允许输入30个字)