欢迎到【弱电论坛】来学习和讨论问题！



★电工电气产品供求、电气展会、人才、电气技术文章、图库、电气技术论坛等相关内容，请跳转至【电气之家网】--- 可直接使用本站会员名和密码登陆！（首次使用需要激活账户）

标王 热搜： 网络监控弱电楼宇对讲机房及机柜内部的理线方法 CAD 门禁综合布线 ar800-hn 工资面板

当前位置: 首页 » 技术 » 电脑技术 » 网络技术 » 正文

最详尽的cisco VPN完全配置手册（2）

发布日期：2010-10-19 来源：互联网作者：manage 浏览次数：435

核心提示：步骤：以R1为例进行配置 1.配置路由 2.定义加密数据的acl access101permitip172.16.1.00.0.0.255172.16.2.00.0.0.255 3.定义isakmppolicy cryptoisakmppolicy1 authenticationpre-share（采用pre-sharekey进行验证）（authentication参数必须配置，其他参数如group、h

步骤：
以R1为例进行配置
1.配置路由
2.定义加密数据的acl
access 101 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
3.定义isakmp policy
crypto isakmp policy 1
authentication pre-share （采用pre-share key进行验证）
（authentication参数必须配置，其他参数如group、hash、encr、lifetime等，如果进行配置，需要注意两个路由器上的对应参数配置必须相同。）
4.定义pre-share key
crypto isakmp key pre-share-key address 192.168.1.2
（其中pre-share-key 为key，两个路由器上要一样，其中192.168.1.2为peer路由器的ip地址。）
5.定义transform-set
crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac
（其中vpn-tfs为transform-set name，后面两项为加密传输的算法）
（mode transport/tunnel tunnel为默认值，此配置可选）
6.定义crypto map entry
cry map vpn-map 10 ipsec-isakmp
（其中vpn-map为map name，10 是entry 号码，ipsec-isakmp表示采用isakmp进行密钥管理）
match address 101 （定义进行加密传输的数据，与第二步对应）
set peer 192.168.1.2 （定义peer路由器的ip）
set transform-set vpn-tfs （与第五步对应）
（如果一个接口上要对应多个vpn peer，可以定义多个entry，每个entry对应一个peer）
7.将crypto map应用到接口上
inter f0 (vpn通道入口)
cry map vpn-map
8.同样方法配置r2路由器。

R1的完整配置：
r1#sh run
Building configuration...

Current configuration : 1064 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname r1
!
ip subnet-zero
!
no ip domain-lookup
!
crypto isakmp policy 1
authentication pre-share
crypto isakmp key pre-share-key address 192.168.1.2
!
crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac
!
crypto map vpn-map 10 ipsec-isakmp
set peer 192.168.1.2
set transform-set vpn-tfs
match address 101
!
call rsvp-sync
!
interface Ethernet0/0
ip address 172.16.1.1 255.255.255.0
no keepalive
half-duplex
!
interface Serial1/0
ip address 192.168.1.1 255.255.255.0
!
router ospf 100
log-adjacency-changes
network 172.16.1.0 0.0.0.255 area 0
network 192.168.1.0 0.0.0.255 area 0
!
ip classless
no ip http server
!
access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
!
dial-peer cor custom
!
line con 0
line aux 0
line vty 0 4
login
!
end

r1#

R2的完整配置：
r2#sh run
Building configuration...
Current configuration : 1103 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname r2
!
username r1 password 0 cisco
ip subnet-zero
!
crypto isakmp policy 1
authentication pre-share
crypto isakmp key pre-share-key address 192.168.1.1
!
crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac
!
crypto map vpn-map 10 ipsec-isakmp
set peer 192.168.1.1
set transform-set vpn-tfs
match address 101
!
call rsvp-sync
!
!
interface Ethernet0/0
ip address 172.16.2.1 255.255.255.0
no keepalive
half-duplex
!
interface Serial1/0
ip address 192.168.1.2 255.255.255.0
clockrate 64000
crypto map vpn-map
!
router ospf 100
log-adjacency-changes
network 172.16.2.0 0.0.0.255 area 0
network 192.168.1.0 0.0.0.255 area 0
!
ip classless
no ip http server
!
access-list 101 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
!
dial-peer cor custom
!
line con 0
line aux 0
line vty 0 4
!
End

r2#

测试：
（1）未将map应用到接口之前，在r1，扩展ping，source 192.168.1.1 destination 172.16.2.1，通过。扩展ping，source 172.16.1.1 destination 172.16.2.1，通过。
（2）map应用到接口之后，在r1，扩展ping，source 192.168.1.1 destination 172.16.2.1，通过。
查看show crypto ipsec sa ，可以看到数据没有通过vpn 通道进行传输，因为不符合acl 101。
（3）map应用到接口之后，在r1，扩展ping，source 172.16.1.1 destination 172.16.2.1，通过。查看show cry ip sa，可以看到数据通过vpn 通道进行传输。
（4）在r2上同样进行测试。

site to site vpn（采用rsa-encrypted）

[ 技术搜索 ] [ 加入收藏 ] [ 告诉好友 ] [ 打印本文 ] [ 关闭窗口 ]

• 教你如何设置小米路由器	• 两个有线路由器的连接设置方法
• 无线有线路由器互连的方法	• 全千兆网络解决方案
• 为什么接上交换机后有部分电脑不能上网？	• MAC地址克隆突破共享限制让多机齐上网
• D-link路由器DI-524M mac地址克隆设置教程	• Mac地址克隆方法
• 腾达无线路由器设置指南（腾达路由器技术问题解	• FAST 讯捷路由器的无线应用