Cisco网络设备搭建VPN服务器的全部过程

原创 2007年10月01日 18:59:00

环境:在公司的南京办事处与上海办事处之间建立VPN联接。


  南京办事处网络设置:
  内网IP 10.1.1.0/24
  外网IP 202.102.1.5/24
  上海办事处网络设置:
  内网IP 10.1.2.0/24
  外网IP 202.102.1.6/24
  
  南京路由器配置
  !
  service timestamps debug uptime
  service timestamps log uptime
  no service password-encryption
  !
  hostname nanjing
  !
  enable cisco
  !
  !
  !------以下配置加密--------
==============================

crypto isakmp policy 1 生成iskamp policy number 1
  encryption des 选择用DES encryption也可用3DES指定三倍DES加密
  hash sha 指定使用的散列算法,也可以是md5(二端保持一致)
  authentication pre-share
  group 1 指定为Diffie-Hellman组,1表示768位,2表示1024位
  lifetime 14400 指定安全关联的有效期,不设就为默认值
  ------以下配置密钥方法-----
  crypto isakmp identity address 指定与远程路由器通信时使用isakmp标识
  crypto isakmp key 654321 address 202.102.1.6 对远程路由器端口202.102.1.6使用密钥654321
  crypto isakmp key 654321 address 192.168.1.2 对远程路由器隧道端口192.168.1.2使用密钥654321
  !
  ------以下定义一个转换集-----
  crypto ipsec transform-set tset1 ah-md5-hmac esp-des esp-md5-hmac 可以定义一个或多个集
  !
  !
  -------以下建立加密图------
  crypto map cmap1 local-address serial 0 定义加密图cmap1并指定s0为本地地址
  crypto map cmap1 1 ipsec-isakmp 用序号1设置加密图
  set peer 202.102.1.6 设定目标地址
  set peer 192.168.1.2
  set transform-set test1 指定转换集
  match address 111 指定加密访问列表111中的地址
  !
  !
  process-max-time 200
  !
  -------以下设置隧道端口------
  interface Tunnel0
  ip address 192.168.1.1 255.255.255.0
  tunnel source 202.102.1.5
  tunnel destination 202.102.1.6
  crypto map cmap
  !
  -------以下设置内网口------
  interface Ethernet0
  ip address 10.1.1.1 255.255.255.0
  !
  -------以下设置外网口------
  interface serial0
  ip address 202.102.1.5 255.255.255.0
  no ip mroute-cache
  no fair-queue
  crypto map cmap
  !
  ip classless
  !
  -------以下建立访问列表111------
  access-list 111 permit ip host 202.102.1.5 host 202.102.1.6
  access-list 111 permit ip host 202.102.1.6 host 202.102.1.5
  access-list 111 permit ip 10.1.1.0 0.0.0.255 202.102.1.0 0.0.0.255
  access-list 111 permit ip 10.1.2.0 0.0.0.255 202.102.1.0 0.0.0.255
  access-list 111 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
  access-list 111 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255
  !
  line con 0
  line aux 0
  line vty 0 4
  password cisco
  login
  !
  end
  !
  
  上海路由器配置
  !
  service timestamps debug uptime
  service timestamps log uptime
  no service password-encryption
  !
  hostname shanghai
  !
  enable cisco
  !
  !
  !------以下配置加密--------
  crypto isakmp policy 1 生成iskamp policy number 1
  encryption des 选择用DES encryption也可用3DES指定三倍DES加密
  hash sha 指定使用的散列算法,也可以是md5(二端保持一致)
  authentication pre-share
  group 1 指定为Diffie-Hellman组,1表示768位,2表示1024位
  lifetime 14400 指定安全关联的有效期,不设就为默认值
  ------以下配置密钥方法-----
  crypto isakmp identity address 指定与远程路由器通信时使用isakmp标识
  crypto isakmp key 654321 address 202.102.1.5 对远程路由器端口202.102.1.6使用密钥654321
  crypto isakmp key 654321 address 202.102.1.6 对远程路由器端口202.102.1.6使用密钥654321
  crypto isakmp key 654321 address 192.168.1.1 对远程路由器隧道端口192.168.1.2使用密钥654321
  !
  ------以下定义一个转换集-----
  crypto ipsec transform-set tset1 ah-md5-hmac esp-des esp-md5-hmac 可以定义一个或多个集
  !
  !
  -------以下建立加密图------
  crypto map cmap1 local-address serial 0 定义加密图cmap1并指定s0为本地地址
  crypto map cmap1 1 ipsec-isakmp 用序号1设置加密图
  set peer 202.102.1.5 设定目标地址
  set peer 202.102.1.6
  set peer 192.168.1.1
  set transform-set test1 指定转换集
  match address 111 指定加密访问列表111中的地址
  !
  !
  process-max-time 200
  !
  -------以下设置隧道端口------
  interface Tunnel0
  ip address 192.168.1.2 255.255.255.0
  tunnel source 202.102.1.6
  tunnel destination 202.102.1.5
  crypto map cmap
  !
  -------以下设置内网口------
  interface Ethernet0
  ip address 10.1.2.1 255.255.255.0
  !
  -------以下设置外网口------
  interface serial0
  ip address 202.102.1.6 255.255.255.0
  no ip mroute-cache
  no fair-queue
  crypto map cmap
  !
  ip classless
  !
  -------以下建立访问列表111------
  access-list 111 permit ip host 202.102.1.5 host 202.102.1.6
  access-list 111 permit ip host 202.102.1.6 host 202.102.1.5
  access-list 111 permit ip 10.1.1.0 0.0.0.255 202.102.1.0 0.0.0.255
  access-list 111 permit ip 10.1.2.0 0.0.0.255 202.102.1.0 0.0.0.255
  access-list 111 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
  access-list 111 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255
  !
  line con 0
  line aux 0
  line vty 0 4

  password cisco
  login
  !
  end
  ! 

版权声明:本文为博主原创文章,随便转载,但是请注明出处。

使用域账号统一管理cisco网络设备

1.  思科设备和微软系统整合的背景: 公司内部有一定数量的客户端,为了实现统一化,在管理内部部署了域架构,这样可以通过组策略对客户端 进行批量化管理,提高了管理的效率。同样公司内部有一定数量的...

Cisco网络设备配置入门必读的几个命令

思科的网络设备市场占有率很高,合理使用其设备很大程度上依赖于对其IOS的掌握。思科的IOS提供了大量的命令,而配置IOS是一项很具有挑战性的工作。下面是一些最基础、最常见的几个命令: “?” ...
  • kepa520
  • kepa520
  • 2015年07月23日 15:00
  • 244

CISCO网络设备用户权限级别

CISCO网络设备用户权限级别     在思科路由器中定义用户权限级别有两种方式: 第一种是直接定义不同级别的enable密码,用户都用默认...
  • xlh1991
  • xlh1991
  • 2014年09月03日 12:12
  • 1421

构建简易网络与网络设备的简单配置(Cisco Packet Tracer)第二弹:静态路由协议配置

本篇文章讲述了在路由器上配置静态路由的方法。 所谓静态路由,就是是指由用户或网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时,网络管理员需要手工去修改路由表中相关的静态路由信息。静...

笔记-CCNA与网络安全 第4章 配置cisco网络设备

路由器硬件分类 模块化路由器(各类接口可拔插)  非模块化路由器(全部的接口集成在主机上) cisco路由器主要组件 Flash RAM、ROM、CPU、NVRAM(相当于硬盘) ...

CISCO网络设备的集中化管理

  • 2014年10月10日 00:32
  • 979KB
  • 下载

Cisco网络设备图标

  • 2014年03月17日 22:15
  • 1.52MB
  • 下载

在CentOS服务器上使用MRTG监测网络设备流量情况

MRTG是一个开源的图形化的监控网络流量负载的工具(是德国OETIKER+PARTNER AG提供开源项目其中之一,http://oss.oetiker.ch/mrtg/ ),通过snmp协议得到设备...
  • leotime
  • leotime
  • 2012年12月13日 17:41
  • 673

Cisco网络设备图标库(2010版

  • 2010年09月20日 15:49
  • 1.7MB
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Cisco网络设备搭建VPN服务器的全部过程
举报原因:
原因补充:

(最多只允许输入30个字)