关闭

Cisco网络设备搭建VPN服务器的全部过程

510人阅读 评论(0) 收藏 举报

环境:在公司的南京办事处与上海办事处之间建立VPN联接。


  南京办事处网络设置:
  内网IP 10.1.1.0/24
  外网IP 202.102.1.5/24
  上海办事处网络设置:
  内网IP 10.1.2.0/24
  外网IP 202.102.1.6/24
  
  南京路由器配置
  !
  service timestamps debug uptime
  service timestamps log uptime
  no service password-encryption
  !
  hostname nanjing
  !
  enable cisco
  !
  !
  !------以下配置加密--------
==============================

crypto isakmp policy 1 生成iskamp policy number 1
  encryption des 选择用DES encryption也可用3DES指定三倍DES加密
  hash sha 指定使用的散列算法,也可以是md5(二端保持一致)
  authentication pre-share
  group 1 指定为Diffie-Hellman组,1表示768位,2表示1024位
  lifetime 14400 指定安全关联的有效期,不设就为默认值
  ------以下配置密钥方法-----
  crypto isakmp identity address 指定与远程路由器通信时使用isakmp标识
  crypto isakmp key 654321 address 202.102.1.6 对远程路由器端口202.102.1.6使用密钥654321
  crypto isakmp key 654321 address 192.168.1.2 对远程路由器隧道端口192.168.1.2使用密钥654321
  !
  ------以下定义一个转换集-----
  crypto ipsec transform-set tset1 ah-md5-hmac esp-des esp-md5-hmac 可以定义一个或多个集
  !
  !
  -------以下建立加密图------
  crypto map cmap1 local-address serial 0 定义加密图cmap1并指定s0为本地地址
  crypto map cmap1 1 ipsec-isakmp 用序号1设置加密图
  set peer 202.102.1.6 设定目标地址
  set peer 192.168.1.2
  set transform-set test1 指定转换集
  match address 111 指定加密访问列表111中的地址
  !
  !
  process-max-time 200
  !
  -------以下设置隧道端口------
  interface Tunnel0
  ip address 192.168.1.1 255.255.255.0
  tunnel source 202.102.1.5
  tunnel destination 202.102.1.6
  crypto map cmap
  !
  -------以下设置内网口------
  interface Ethernet0
  ip address 10.1.1.1 255.255.255.0
  !
  -------以下设置外网口------
  interface serial0
  ip address 202.102.1.5 255.255.255.0
  no ip mroute-cache
  no fair-queue
  crypto map cmap
  !
  ip classless
  !
  -------以下建立访问列表111------
  access-list 111 permit ip host 202.102.1.5 host 202.102.1.6
  access-list 111 permit ip host 202.102.1.6 host 202.102.1.5
  access-list 111 permit ip 10.1.1.0 0.0.0.255 202.102.1.0 0.0.0.255
  access-list 111 permit ip 10.1.2.0 0.0.0.255 202.102.1.0 0.0.0.255
  access-list 111 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
  access-list 111 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255
  !
  line con 0
  line aux 0
  line vty 0 4
  password cisco
  login
  !
  end
  !
  
  上海路由器配置
  !
  service timestamps debug uptime
  service timestamps log uptime
  no service password-encryption
  !
  hostname shanghai
  !
  enable cisco
  !
  !
  !------以下配置加密--------
  crypto isakmp policy 1 生成iskamp policy number 1
  encryption des 选择用DES encryption也可用3DES指定三倍DES加密
  hash sha 指定使用的散列算法,也可以是md5(二端保持一致)
  authentication pre-share
  group 1 指定为Diffie-Hellman组,1表示768位,2表示1024位
  lifetime 14400 指定安全关联的有效期,不设就为默认值
  ------以下配置密钥方法-----
  crypto isakmp identity address 指定与远程路由器通信时使用isakmp标识
  crypto isakmp key 654321 address 202.102.1.5 对远程路由器端口202.102.1.6使用密钥654321
  crypto isakmp key 654321 address 202.102.1.6 对远程路由器端口202.102.1.6使用密钥654321
  crypto isakmp key 654321 address 192.168.1.1 对远程路由器隧道端口192.168.1.2使用密钥654321
  !
  ------以下定义一个转换集-----
  crypto ipsec transform-set tset1 ah-md5-hmac esp-des esp-md5-hmac 可以定义一个或多个集
  !
  !
  -------以下建立加密图------
  crypto map cmap1 local-address serial 0 定义加密图cmap1并指定s0为本地地址
  crypto map cmap1 1 ipsec-isakmp 用序号1设置加密图
  set peer 202.102.1.5 设定目标地址
  set peer 202.102.1.6
  set peer 192.168.1.1
  set transform-set test1 指定转换集
  match address 111 指定加密访问列表111中的地址
  !
  !
  process-max-time 200
  !
  -------以下设置隧道端口------
  interface Tunnel0
  ip address 192.168.1.2 255.255.255.0
  tunnel source 202.102.1.6
  tunnel destination 202.102.1.5
  crypto map cmap
  !
  -------以下设置内网口------
  interface Ethernet0
  ip address 10.1.2.1 255.255.255.0
  !
  -------以下设置外网口------
  interface serial0
  ip address 202.102.1.6 255.255.255.0
  no ip mroute-cache
  no fair-queue
  crypto map cmap
  !
  ip classless
  !
  -------以下建立访问列表111------
  access-list 111 permit ip host 202.102.1.5 host 202.102.1.6
  access-list 111 permit ip host 202.102.1.6 host 202.102.1.5
  access-list 111 permit ip 10.1.1.0 0.0.0.255 202.102.1.0 0.0.0.255
  access-list 111 permit ip 10.1.2.0 0.0.0.255 202.102.1.0 0.0.0.255
  access-list 111 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
  access-list 111 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255
  !
  line con 0
  line aux 0
  line vty 0 4

  password cisco
  login
  !
  end
  ! 

0
0
查看评论

Ubuntu 14.04 搭建 Cisco IPSec VPN 服务器教程bei

转载做记录https://lvjie.me/article/0011 背景 iOS 和 OS X 都自带 Cisco IPSec VPN 客户端,使用起来非常方便,安全性也比 PPTP 高。 搭建过程 安装strongswan apt-get update apt-...
  • infsafe
  • infsafe
  • 2015-04-14 14:42
  • 9760

Linux Cisco VPN的配置方法

一、安装openconnectopenconnect是Cisco的AnyConnectSSL VPN的Linux客户端。而NetworkManager-openconnect则是把openconnect的命令行工具,集成到了NetworkManager的图形界面上,它的使用与Window差不多。$ ...
  • chinainvent
  • chinainvent
  • 2012-10-19 17:40
  • 13359

win10下安装配置cisco vpn client

一、原理说明     Cisco VPN Client v5.0.07.0440(最新版本和稳定版本)的EOL名称意味着较新的操作系统(如Windows 10)不受客户机正式支持。这使许多企业和教育机构无需VPN支持,直到它们升级到AnyConnect套件。 ...
  • firehadoop
  • firehadoop
  • 2017-04-13 22:13
  • 3488

Cisco VPN 链接不上

错误一: Cisco VPN Client Reason 442: Failed to Enable Virtual Adapter
  • xiaogou56a
  • xiaogou56a
  • 2014-11-09 01:43
  • 1182

Cisco Easy VPN综合配置示例

Easy VPN服务器至少需要进行如下四方面的配置任务(还有一些要根据实际的功能需求所进行的选择配置任务): l 建立用于IKE第一阶段设备认证的IKE策略:也是一个或多个包括加密算法、哈希算法、认证方法和DH组类型组合的建议,也即我们在本书第13章中介绍的IKE策略中所需的加密映射、变换集条目等...
  • lycb_gz
  • lycb_gz
  • 2013-09-03 09:06
  • 7937

SSL VPN隧道建立过程

SSL VPN隧道建立过程 SSL VPN隧道建立过程分以下4个阶段: 第一阶段,客户端向服务器发出SSL连接请求,并附上一段随机产生的信息,服务器端在通讯之前会向证书颁发组织申请并获得自己的公钥、私钥以及证书。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。证书是由权...
  • Galdys
  • Galdys
  • 2012-11-23 00:44
  • 5263

cisco路由器上做IPSec-VPN

session 1 ipsec知识点 IPsec(IP Security)ip安全的简称     在实施VPN时,除了实现隧道功能以外,还要实现数据安全,两者缺一不可;在隧道方面,之前所讲到的GRE就是最常用的隧道技术,而在数据安全方面,其实就是要...
  • alone_map
  • alone_map
  • 2016-07-06 16:10
  • 4734

如何在Windows环境下快速搭建VPN服务器和VPN客户端

如何创建一个VPN服务器 http://article.pchome.net/content-1382896.html 如何创建一个VPN客户端连接 http://jingyan.baidu.com/article/597a064361e068312a52437b.html
  • zsm180
  • zsm180
  • 2017-07-14 09:49
  • 6535

Ubuntu系统搭建VPN服务器

一、生成服务端证书easy-rsa 1、下载easy-rsa:git clone https://github.com/penvpn/easy-rsaa.git 2、cd  /etc/openvpn/easy-rsa/easyrsa3   3、cp vars.exampl...
  • dongxie_tk
  • dongxie_tk
  • 2017-08-16 14:06
  • 337

[cicso-cisco] [cisco-win2008] site-to-site vpn

[cisco - cisco] [cisco - win 2008] site-to-site VPN
  • Runnerchin
  • Runnerchin
  • 2015-07-29 21:39
  • 1358
    个人资料
    • 访问:103382次
    • 积分:1734
    • 等级:
    • 排名:千里之外
    • 原创:70篇
    • 转载:23篇
    • 译文:0篇
    • 评论:20条
    文章分类
    最新评论
    网络工程师相关