关闭

Cisco网络设备搭建VPN服务器的全部过程

标签: ciscovpn网络服务器encryption路由器
458人阅读 评论(0) 收藏 举报
分类:

环境:在公司的南京办事处与上海办事处之间建立VPN联接。


  南京办事处网络设置:
  内网IP 10.1.1.0/24
  外网IP 202.102.1.5/24
  上海办事处网络设置:
  内网IP 10.1.2.0/24
  外网IP 202.102.1.6/24
  
  南京路由器配置
  !
  service timestamps debug uptime
  service timestamps log uptime
  no service password-encryption
  !
  hostname nanjing
  !
  enable cisco
  !
  !
  !------以下配置加密--------
==============================

crypto isakmp policy 1 生成iskamp policy number 1
  encryption des 选择用DES encryption也可用3DES指定三倍DES加密
  hash sha 指定使用的散列算法,也可以是md5(二端保持一致)
  authentication pre-share
  group 1 指定为Diffie-Hellman组,1表示768位,2表示1024位
  lifetime 14400 指定安全关联的有效期,不设就为默认值
  ------以下配置密钥方法-----
  crypto isakmp identity address 指定与远程路由器通信时使用isakmp标识
  crypto isakmp key 654321 address 202.102.1.6 对远程路由器端口202.102.1.6使用密钥654321
  crypto isakmp key 654321 address 192.168.1.2 对远程路由器隧道端口192.168.1.2使用密钥654321
  !
  ------以下定义一个转换集-----
  crypto ipsec transform-set tset1 ah-md5-hmac esp-des esp-md5-hmac 可以定义一个或多个集
  !
  !
  -------以下建立加密图------
  crypto map cmap1 local-address serial 0 定义加密图cmap1并指定s0为本地地址
  crypto map cmap1 1 ipsec-isakmp 用序号1设置加密图
  set peer 202.102.1.6 设定目标地址
  set peer 192.168.1.2
  set transform-set test1 指定转换集
  match address 111 指定加密访问列表111中的地址
  !
  !
  process-max-time 200
  !
  -------以下设置隧道端口------
  interface Tunnel0
  ip address 192.168.1.1 255.255.255.0
  tunnel source 202.102.1.5
  tunnel destination 202.102.1.6
  crypto map cmap
  !
  -------以下设置内网口------
  interface Ethernet0
  ip address 10.1.1.1 255.255.255.0
  !
  -------以下设置外网口------
  interface serial0
  ip address 202.102.1.5 255.255.255.0
  no ip mroute-cache
  no fair-queue
  crypto map cmap
  !
  ip classless
  !
  -------以下建立访问列表111------
  access-list 111 permit ip host 202.102.1.5 host 202.102.1.6
  access-list 111 permit ip host 202.102.1.6 host 202.102.1.5
  access-list 111 permit ip 10.1.1.0 0.0.0.255 202.102.1.0 0.0.0.255
  access-list 111 permit ip 10.1.2.0 0.0.0.255 202.102.1.0 0.0.0.255
  access-list 111 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
  access-list 111 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255
  !
  line con 0
  line aux 0
  line vty 0 4
  password cisco
  login
  !
  end
  !
  
  上海路由器配置
  !
  service timestamps debug uptime
  service timestamps log uptime
  no service password-encryption
  !
  hostname shanghai
  !
  enable cisco
  !
  !
  !------以下配置加密--------
  crypto isakmp policy 1 生成iskamp policy number 1
  encryption des 选择用DES encryption也可用3DES指定三倍DES加密
  hash sha 指定使用的散列算法,也可以是md5(二端保持一致)
  authentication pre-share
  group 1 指定为Diffie-Hellman组,1表示768位,2表示1024位
  lifetime 14400 指定安全关联的有效期,不设就为默认值
  ------以下配置密钥方法-----
  crypto isakmp identity address 指定与远程路由器通信时使用isakmp标识
  crypto isakmp key 654321 address 202.102.1.5 对远程路由器端口202.102.1.6使用密钥654321
  crypto isakmp key 654321 address 202.102.1.6 对远程路由器端口202.102.1.6使用密钥654321
  crypto isakmp key 654321 address 192.168.1.1 对远程路由器隧道端口192.168.1.2使用密钥654321
  !
  ------以下定义一个转换集-----
  crypto ipsec transform-set tset1 ah-md5-hmac esp-des esp-md5-hmac 可以定义一个或多个集
  !
  !
  -------以下建立加密图------
  crypto map cmap1 local-address serial 0 定义加密图cmap1并指定s0为本地地址
  crypto map cmap1 1 ipsec-isakmp 用序号1设置加密图
  set peer 202.102.1.5 设定目标地址
  set peer 202.102.1.6
  set peer 192.168.1.1
  set transform-set test1 指定转换集
  match address 111 指定加密访问列表111中的地址
  !
  !
  process-max-time 200
  !
  -------以下设置隧道端口------
  interface Tunnel0
  ip address 192.168.1.2 255.255.255.0
  tunnel source 202.102.1.6
  tunnel destination 202.102.1.5
  crypto map cmap
  !
  -------以下设置内网口------
  interface Ethernet0
  ip address 10.1.2.1 255.255.255.0
  !
  -------以下设置外网口------
  interface serial0
  ip address 202.102.1.6 255.255.255.0
  no ip mroute-cache
  no fair-queue
  crypto map cmap
  !
  ip classless
  !
  -------以下建立访问列表111------
  access-list 111 permit ip host 202.102.1.5 host 202.102.1.6
  access-list 111 permit ip host 202.102.1.6 host 202.102.1.5
  access-list 111 permit ip 10.1.1.0 0.0.0.255 202.102.1.0 0.0.0.255
  access-list 111 permit ip 10.1.2.0 0.0.0.255 202.102.1.0 0.0.0.255
  access-list 111 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
  access-list 111 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255
  !
  line con 0
  line aux 0
  line vty 0 4

  password cisco
  login
  !
  end
  ! 

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:71356次
    • 积分:1328
    • 等级:
    • 排名:千里之外
    • 原创:60篇
    • 转载:19篇
    • 译文:0篇
    • 评论:19条
    文章分类
    最新评论
    网络工程师相关