天下网吧 >> 网吧方案 >> 网络方案 >> 正文

Cisco 路由器上手工方式VPN的实现


  Cisco 路由器上VPN的实现:
  1、软件要求:
  需要ENTERPRISE PLUS IPSEC 56的IOS,目前使用的比较稳定版本是12.07T
  2、硬件要求:
  8 MB Flash and 40 MB RAM
  在Download IOS版本时,会提示所Download的IOS版本
  的软硬件要求。
  3、IPSec手工方式的注意事项:
  (1)加密通道一旦建立,就不再断开
  (2)Manual Key不提供anti-replay的功能
  (3)在Manual Key方式时,access-list中只有1条permit起作用,其他都被忽略。
  (4)在Manual Key方式下,两边的transform set的名字必须一样。
  4、VPN手工方式需要的主要命令:
  (1)access-list
  设置access-list,有对符合什么样条件的IP包进行加密。
  (2)crypto isakmp
  默认是使用crypto isakmp方式,所以在手工方式下,需要禁止此选项。
  (3)crypto ipsec
  配置IPSec的加密方式,选择manual方式
  (4)crypto map
  配置IPSec的加密方式
  a)set peer
  设置远程VPN网关
  b)set security-association
  设置安全联盟,主要有inbound和outbound
  c)set transform-set
  设置加密形式
  d)match address
  对匹配access-list的进行加密。
  
  5、VPN的手工实现方式:
  (1)配置access-list,对哪些包建立VPN连接。
  access-list 101 permit ip host 192.168.0.1 host
  192.168.1.1
  (2)取消VPN的自动协商方式
  no crypto isakmp enable
  (3)建立一个IPSec的封装方式—两边的路由器需要一样的名称。在举例中是encry-des
  crypto ipsec transform-set encry-desesp-des
  (4)建立一个VPN连接需要的各种条件—这里是ipsec-manual方式
  crypto map vpntest 8 ipsec-manual
  (5)在上一步用crypto map进入crypto配置模式
  a) 配置远程的VPN网关
  set peer 202.106.185.2
  b) 配置进出的安全联盟
  set security-association inbound esp 1000 cipher 21 authenticator 01
  配置入境联盟 加密方式 顺序号
  set security-association outbound esp 1001 cipher 12 authenticator 01
  c)设置IPSec的加密方式
  set transform-set encry-des
  d)对匹配地址进行加密
  match address 101
  (6)在路由器外部网口上绑定加密方式
  int e 0/1
  ip addr 202.106.185.1 255.255.255.0
  crypto map vpntest
  
  6、注意事项
  (1)在两端的access-list要互为相反,如在A路由器上写:
  access-list 101 permit ip host 192.168.0.1 host 192.168.1.1
  则在B路由器上写:
  access-list 101 permit ip host 192.168.1.1 host 192.168.0.1
  
  (2)在两端的transform set名称要一致
  如都写crypto ipsec transform-set encry-des esp-des
  
  (3)在一端的inbound就是另一端的outboud,一端的outbound是另一端的inboud。因此他们的序列好应该相反。
  如在A路由器上写:
  set security-association inbound esp 1000 cipher 21 authenticator 01
  set security-association outbound esp 1001 cipher 12 authenticator 01
  则在B路由器上写:
  set security-association inbound esp 1001 cipher 12 authenticator 01
  set security-association outbound esp 1000 cipher 21 authenticator 01
  
  (4)总之在使用手工方式时,在两端的配置应该尽量一样或相对。
  7、应用条件
  我认为在路由器上做VPN主要有以下几种应用:
  (1)可以使用在电信中二级节点和一级节点进

本文来源:天下网吧 作者:网吧方案

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com,系统开号,技术支持,服务联系QQ:1175525021本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下