天下网吧 >> 网吧方案 >> 网络方案 >> 正文

Cisco 路由器上手工方式VPN的实现

行远程管理认证时使用。而一级节点和骨干节点由于通讯量比较大,不建议使用VPN方式。而且为了减低负载只有在传输特殊应用时建议使用VPN,不是只是简单地判断Source IP,Destination IP。
  (2)移动用户在跟自己公司的服务器进行连接时使用。
  (3)对于分公司、母公司这种形式在相互通信过程中使用。
  8、用VPN的好处
  (1)节约成本,因为不要在做大量投资,购买专业设备,只需用现有的路由器即可。
  (2)实现了加密,保证重要数据在传输过程中的安全性。
  (3)灵活性强。如果用户通过路由器接入Internet,则可以自己配置保证安全性。不过对于ISP来说用处不大。
  9、VPN应用举例:
  
  在路由器R1上配置如下:
  no crypto isakmp enable
  crypto ipsec transform-set encry-des esp-des
  crypto map vpntest 8 ipsec-manual
  set peer 202.106.185.2
  set security-association inbound esp 1000 cipher 21 authenticator 01
  set security-association outbound esp 1001 cipher 12 authenticator 01
  set transform-set encry-des match address 101
  interface Ethernet0/0
  ip address 192.168.0.1 255.255.255.0
  interface Ethernet0/1
  ip address 202.106.185.1 255.255.255.0
  crypto map vpntest
  ip route 0.0.0.0 0.0.0.0 202.106.185.2
  access-list 101 permit ip host 192.168.0.1 host 192.168.1.1
  
  
  在路由器R2上配置如下:
  no crypto isakmp enable
  crypto ipsec transform-set encry-des esp-des
  crypto map vpntest 8 ipsec-manual set peer 202.106.185.1
  set security-association inbound esp 1001 cipher 12 authenticator 01
  set security-association outbound esp 1000 cipher 21 authenticator 01
  set transform-set encry-des match address 101
  interface Ethernet0/0
  ip address 192.168.1.1 255.255.255.0
  interface Ethernet0/1
  ip address 202.106.185.2 255.255.255.0
  crypto map vpntest
  ip route 0.0.0.0 0.0.0.0 202.106.185.1
  access-list 101 permit ip host 192.168.1.1 host 192.168.0.1
  
  
  IKE方式的实现
  1、IKE使用UPD 500
  2、支持CA
  3、支持移动用户
  IKE包括的组件:
  1、DES
  2、Diffie-Hellman-preshare key
  3、RSA signatures(CA)and RSA encrypted nonces
  IKE配置内容:
  1、enable IKE—default enable
  2、accesslist
  3、transformset
  4、crypto map
  5、binding interface
  IKE Policy—两边的号码可以不一样,匹配:
  authentication、hash、diff-herman、encrytpion,lifetime(取最小值)
  1、authentication
  (1)RSA signature
  (2)RSA non
  (3)Preshare Key
  2、encryption
  
  IKE配置
  (1)配置accesslist
  (2)crypto isakmp enable(默认打开,但为了避免,还是写上)
  (3)crypto isakmp policy 10
  a)encryption algorithm:DES
  b)hash algorithm:SHA1
  c)authentication method:RSA sig
  d)Diffie-Hellman group:1
  e)Lifetime:86400
  (4)crypto isakmp key test address 202.1

本文来源:天下网吧 作者:网吧方案

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com,系统开号,技术支持,服务联系QQ:1175525021本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下