VPN配置.docx
- 文档编号:1061262
- 上传时间:2023-04-30
- 格式:DOCX
- 页数:25
- 大小:21.98KB
VPN配置.docx
《VPN配置.docx》由会员分享,可在线阅读,更多相关《VPN配置.docx(25页珍藏版)》请在冰点文库上搜索。
VPN配置
VPN配置手册---VpnAccessServer
VPN配置之一:
vpnaccessserver
网络拓扑:
PC---------Router---------Router
PC配置:
IPAddress:
10.1.1.1/24
DefaultGateway:
10.1.1.254
R1接口ip:
(VPNAccessServer)
FastEthernet0/0:
20.1.1.254/24
Serial1/0:
172.16.1.1/24
R2接口ip:
(PrivateNetwork)
Serial1/0:
:
172.16.1.2/24
FastEthernet0/0:
10.1.1.254/24
2610的IOS为c2600-jk8o3s-mz.122-8.T5.bin
R1步骤:
1.配置isakmppolicy:
cryptoisakmppolicy1
hashmd5
authenticationpre-share
group2
2.配置vpnclient地址池
cryptoisakmpclientconfigurationaddress-poollocalpool192
iplocalpoolpool192192.168.1.1192.168.1.254
3.配置vpnclient有关参数
cryptoisakmpclientconfigurationgroupvclient-group
(vclient-group就是在vpnclient的连接配置中需要输入的groupauthenticationname。
)
keyvclient-key
(vclient-key就是在vpnclient的连接配置中需要输入的groupauthenticationpassword。
)
poolpool192(client的ip地址从这里选取)
(以上两个参数必须配置,其他参数还包括domain、dns、wins等,根据情况进行配置。
)
4.配置ipsectransform-set
cryptoipsectransform-setvclient-tfsesp-desesp-md5-hmac
5.配置map模板
crydynamic-maptemplate-map1
settransform-setvclient-tfs(和第四步对应)
6.配置vpnmap
crymapvpnmap1ipsec-isakmpdynamictemplate-map
(使用第五步配置的map模板)
cryptomapvpnmapisakmpauthorizationlistvclient-group
(使用第三步配置的参数authorization)
cryptomapvpnmapclientconfigurationaddressrespond
(响应client分配地址的请求)
说明几点:
(1)vpnclient使用的ippool地址不能与Router内部网络ip地址重叠。
(2)172.16.1.0网段模拟公网地址,10.1.1.0、20.1.1.0网段用于内部地址,192.168.1.0网段用于vpn通道。
R1的配置:
r1#
r1#shrun
Buildingconfiguration...
Currentconfiguration:
1521bytes
!
version12.2
servicetimestampsdebuguptime
servicetimestampsloguptime
noservicepassword-encryption
!
hostnamer1
!
EnablePasswordcisco
!
ipsubnet-zero
!
ipauditnotifylog
ipauditpomax-events100
!
cryptoisakmppolicy1
hashmd5
authenticationpre-share
group2
cryptoisakmpclientconfigurationaddress-poollocalpool192
!
cryptoisakmpclientconfigurationgroupvclient-group
keyvclient-key-cisco
poolvclient-pool
!
cryptoipsectransform-setvclient-tfsesp-desesp-md5-hmac
!
cryptodynamic-maptemplate-map1
settransform-setvclient-tfs
!
cryptomapvpnmapisakmpauthorizationlistvclient-group
cryptomapvpnmapclientconfigurationaddressrespond
cryptomapvpnmap1ipsec-isakmpdynamictemplate-map
!
faxinterface-typefax-mail
mtareceivemaximum-recipients0
!
interfaceFastEthernet0/0
ipaddress20.1.1.254255.255.255.0
!
interfaceSerial1/0
ipaddress172.16.1.1255.255.255.0
cryptomapvpnmap
nofair-queue
!
iplocalpoolvclient-pool192.168.1.1192.168.1.254
ipclassless
iproute0.0.0.00.0.0.0Serial1/0
noiphttpserver
ippimbidir-enable
!
callrsvp-sync
!
mgcpprofiledefault
!
dial-peercorcustom
!
linecon0
login
passcisco
lineaux0
linevty04
login
passcisco
!
end
r1#
R2的配置:
r2#
r2#shrun
Buildingconfiguration...
Currentconfiguration:
714bytes
!
version12.2
servicetimestampsdebuguptime
servicetimestampsloguptime
noservicepassword-encryption
!
hostnamer2
!
EnablePasswordcisco
!
ipsubnet-zero
!
callrsvp-sync
!
interfaceFastEthernet0/0
ipaddress10.1.1.254255.255.255.0
!
interfaceSerial1/0
ipaddress172.16.1.2255.255.255.0
clockrate64000
!
ipclassless
iproute0.0.0.00.0.0.0Serial1/0
iphttpserver
!
dial-peercorcustom
!
linecon0
login
passcisco
lineaux0
linevty04
login
passcisco
!
end
r2#
VPNClient4.01的配置:
建一个connectionentry,参数配置:
name:
任意起一个
host:
填入vpnaccessserver的s0/0地址172.16.1.1
groupauahentication:
name:
vclient-group
password:
vclient-key-cisco
测试:
(1)在pc上运行VPNclient,连接vpnaccessserver。
(2)ipconfig/all,查看获取到的ip地址与其他参数。
(3)在router,showcryisasa,看连接是否成功。
(4)从router,pingclient已经获取到的ip地址,通过。
(5)从client,pingr2的e0/0配置的地址172.16.2.1,通过。
(6)查看vpnclient软件的status--statistics,可以看到加密与解密的数据量。
(7)R1上showcryipsa,也可以查看加密与解密的数据量。
常用调试命令:
showcryptoisakmpsa
showcryptoipsecsa
clearcryptosa
clearcryptoisakmp
debugcryptoisakmp
debugcryptoipsec
sitetositevpn的配置(采用pre-share)
实验网络拓扑:
Router------------------Router
R1接口ip:
s1/0:
192.168.1.1/24f0/0:
172.16.1.2/24
R2接口ip:
s1/0:
192.168.1.2/24f0/0:
172.16.2.1/24
2610的IOS为c2600-jk9s-mz.122-17.bin
步骤:
以R1为例进行配置
1.配置路由
2.定义加密数据的acl
access101permitip172.16.1.00.0.0.255172.16.2.00.0.0.255
3.定义isakmppolicy
cryptoisakmppolicy1
authenticationpre-share(采用pre-sharekey进行验证)
(authentication参数必须配置,其他参数如group、hash、encr、lifetime等,如果进行配置,需要注意两个路由器上的对应参数配置必须相同。
)
4.定义pre-sharekey
cryptoisakmpkeypre-share-keyaddress192.168.1.2
(其中pre-share-key为key,两个路由器上要一样,其中192.168.1.2为peer路由器的ip地址。
)
5.定义transform-set
cryptoipsectransform-setvpn-tfsesp-3desesp-sha-hmac
(其中vpn-tfs为transform-setname,后面两项为加密传输的算法)
(modetransport/tunneltunnel为默认值,此配置可选)
6.定义cryptomapentry
crymapvpn-map10ipsec-isakmp
(其中vpn-map为mapname,10是entry号码,ipsec-isakmp表示采用isakmp进行密钥管理)
matchaddress101(定义进行加密传输的数据,与第二步对应)
setpeer192.168.1.2(定义peer路由器的ip)
settransform-setvpn-tfs(与第五步对应)
(如果一个接口上要对应多个vpnpeer,可以定义多个entry,每个entry对应一个peer)
7.将cryptomap应用到接口上
interf0(vpn通道入口)
crymapvpn-map
8.同样方法配置r2路由器。
R1的完整配置:
r1#shrun
Buildingconfiguration...
Currentconfiguration:
1064bytes
!
version12.2
servicetimestampsdebuguptime
servicetimestampsloguptime
noservicepassword-encryption
!
hostnamer1
!
ipsubnet-zero
!
noipdomain-lookup
!
cryptoisakmppolicy1
authenticationpre-share
cryptoisakmpkeypre-share-keyaddress192.168.1.2
!
cryptoipsectransform-setvpn-tfsesp-3desesp-sha-hmac
!
cryptomapvpn-map10ipsec-isakmp
setpeer192.168.1.2
settransform-setvpn-tfs
matchaddress101
!
callrsvp-sync
!
interfaceEthernet0/0
ipaddress172.16.1.1255.255.255.0
nokeepalive
half-duplex
!
interfaceSerial1/0
ipaddress192.168.1.1255.255.255.0
!
routerospf100
log-adjacency-changes
network172.16.1.00.0.0.255area0
network192.168.1.00.0.0.255area0
!
ipclassless
noiphttpserver
!
access-list101permitip172.16.1.00.0.0.255172.16.2.00.0.0.255
!
dial-peercorcustom
!
linecon0
lineaux0
linevty04
login
!
end
r1#
R2的完整配置:
r2#shrun
Buildingconfiguration...
Currentconfiguration:
1103bytes
!
version12.2
servicetimestampsdebuguptime
servicetimestampsloguptime
noservicepassword-encryption
!
hostnamer2
!
usernamer1password0cisco
ipsubnet-zero
!
cryptoisakmppolicy1
authenticationpre-share
cryptoisakmpkeypre-share-keyaddress192.168.1.1
!
cryptoipsectransform-setvpn-tfsesp-3desesp-sha-hmac
!
cryptomapvpn-map10ipsec-isakmp
setpeer192.168.1.1
settransform-setvpn-tfs
matchaddress101
!
callrsvp-sync
!
!
interfaceEthernet0/0
ipaddress172.16.2.1255.255.255.0
nokeepalive
half-duplex
!
interfaceSerial1/0
ipaddress192.168.1.2255.255.255.0
clockrate64000
cryptomapvpn-map
!
routerospf100
log-adjacency-changes
network172.16.2.00.0.0.255area0
network192.168.1.00.0.0.255area0
!
ipclassless
noiphttpserver
!
access-list101permitip172.16.2.00.0.0.255172.16.1.00.0.0.255
!
dial-peercorcustom
!
linecon0
lineaux0
linevty04
!
End
r2#
测试:
(1)未将map应用到接口之前,在r1,扩展ping,source192.168.1.1destination172.16.2.1,通过。
扩展ping,source172.16.1.1destination172.16.2.1,通过。
(2)map应用到接口之后,在r1,扩展ping,source192.168.1.1destination172.16.2.1,通过。
查看showcryptoipsecsa,可以看到数据没有通过vpn通道进行传输,因为不符合acl101。
(3)map应用到接口之后,在r1,扩展ping,source172.16.1.1destination172.16.2.1,通过。
查看showcryipsa,可以看到数据通过vpn通道进行传输。
(4)在r2上同样进行测试。
sitetositevpn(采用rsa-encrypted)
实验网络拓扑:
Router---------------------Router
R1接口ip:
s1/0:
192.168.1.1/24f0/0:
172.16.1.2/24
R2接口ip:
s1/0:
192.168.1.2/24f0/0:
172.16.2.1/24
2610的IOS为c2600-jk9s-mz.122-17.bin
步骤:
以R2为例进行配置
1.配置路由
2.定义加密数据的acl
access101permitip172.16.1.00.0.0.255172.16.2.00.0.0.255
3.生成rsakey
crykeygeneratersageneral-keys(生成GeneralPurposersaKey)
或者crykeygeneratersausage-keys(分别生成rsasigningkey和rsaencryptionkey)
这里统一用generalpurposekey
4.复制peerrouter的publickey到本地router中
(1)在R1上生成generalpurposekey
(2)在R1上showcrykeymypubkeyrsa,(复制其中的GeneralPurposeKey)
(3)在R2上,cryptokeypubkey-chainrsa(设置publickey)
addressed-key10.130.23.244(设置关联10.130.23.244ip地址的key)
key-string(定义key串)
粘贴从R2上复制的(GeneralPurposeKey)
(如果第三步生成了两种key,则这里复制粘贴的,应该是EncryptionKey(三个key中的第二个)(双方都要互相配置)
5.定义isakmppolicy
cryptoisakmppolicy1
authenticationrsa-encr(采用rsaEncryptionkey进行验证)
(authentication参数必须配置,其他参数如group、hash、encr、lifetime等,如果进行配置,需要注意两个路由器上的对应参数配置必须相同。
)
6.定义transform-set
cryptoipsectransform-setvpn-tfsesp-3desesp-sha-hmac
(其中vpn-tfs为transform-setname,后面两项为加密传输的算法)
modetransport/tunnel(tunnel为默认值,此配置可选)
7.定义cryptomapentry
cryptomapvpn-map10ipsec-isakmp
(其中vpn-map为mapname,10是entry号码,ipsec-isakmp表示采用isakmp进行密钥管理)
matchaddress101(定义进行加密传输的数据,与第二步对应)
setpeer192.168.1.1(定义peer路由器的ip)
settransform-setvpn-tfs(与第五步对应)
(如果一个接口上要对应多个vpnpeer,可以定义多个entry,每个entry对应一个peer;同样,pubkey也要对应进行设置。
8.将cryptomap应用到接口上
interS1/0(vpn通道入口)
cryptomapvpn-map
9.同样方法配置R2路由器。
R1完整配置:
r1#
r1#shrun
Buildingconfiguration...
Currentconfiguration:
1379bytes
!
version12.2
servicetimestampsdebuguptime
servicetimestampsloguptime
noservicepassword-encryption
!
hostnamer1
!
ipsubnet-zero
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VPN 配置
文档标签
- h3c配置vpn
- VPN设置
- 配置LACP
- H3Cdot1x配置
- Dell2950Raid配置
- HMC配置
- log4j配置
- SANBOOT配置BOOT配置
- DNSWB配置
- MTKGmodem配置
- ruckus7372配置
- H3CRRPP配置S5500RRPP配置
- 64Windows7IIS配置
- WebBIOS配置
- SessionFactory配置
- WSUS配置
- Axis2配置
- 07VLAN配置
- 配置SRXDyamicVPNversion2
- freenas911配置
- H3CSSLVPN证书认证配置案例VPN
- mplsvpn配置案例vpn配置
- 迅时配置指导
- H3CAAA认证配置AAA认证
- RadwareNAT配置指导V0
- 书证教学案例