Cisco网络设备搭建VPN服务器的全过程
环境:在公司的南京办事处与上海办事处之间建立VPN联接。
南京办事处网络设置:
内网IP
10.1.1.0/24
外网IP 202.102.1.5/24
上海办事处网络设置:
内网IP
10.1.2.0/24
外网IP 202.102.1.6/24
南京路由器配置
!
service
timestamps debug uptime
service timestamps log uptime
no service
password-encryption
!
hostname nanjing
!
enable
cisco
!
!
!------以下配置加密--------
==============================
crypto isakmp policy 1 生成iskamp policy number
1
encryption des 选择用DES encryption也可用3DES指定三倍DES加密
hash sha
指定使用的散列算法,也可以是md5(二端保持一致)
authentication pre-share
group 1
指定为Diffie-Hellman组,1表示768位,2表示1024位
lifetime 14400
指定安全关联的有效期,不设就为默认值
------以下配置密钥方法-----
crypto isakmp identity address
指定与远程路由器通信时使用isakmp标识
crypto isakmp key 654321 address 202.102.1.6
对远程路由器端口202.102.1.6使用密钥654321
crypto isakmp key 654321 address 192.168.1.2
对远程路由器隧道端口192.168.1.2使用密钥654321
!
------以下定义一个转换集-----
crypto
ipsec transform-set tset1 ah-md5-hmac esp-des esp-md5-hmac
可以定义一个或多个集
!
!
-------以下建立加密图------
crypto map cmap1
local-address serial 0 定义加密图cmap1并指定s0为本地地址
crypto map cmap1 1 ipsec-isakmp
用序号1设置加密图
set peer 202.102.1.6 设定目标地址
set peer 192.168.1.2
set
transform-set test1 指定转换集
match address 111
指定加密访问列表111中的地址
!
!
process-max-time
200
!
-------以下设置隧道端口------
interface Tunnel0
ip address
192.168.1.1 255.255.255.0
tunnel source 202.102.1.5
tunnel destination
202.102.1.6
crypto map cmap
!
-------以下设置内网口------
interface
Ethernet0
ip address 10.1.1.1
255.255.255.0
!
-------以下设置外网口------
interface serial0
ip
address 202.102.1.5 255.255.255.0
no ip mroute-cache
no
fair-queue
crypto map cmap
!
ip
classless
!
-------以下建立访问列表111------
access-list 111 permit ip
host 202.102.1.5 host 202.102.1.6
access-list 111 permit ip host
202.102.1.6 host 202.102.1.5
access-list 111 permit ip 10.1.1.0 0.0.0.255
202.102.1.0 0.0.0.255
access-list 111 permit ip 10.1.2.0 0.0.0.255
202.102.1.0 0.0.0.255
access-list 111 permit ip 10.1.1.0 0.0.0.255 10.1.2.0
0.0.0.255
access-list 111 permit ip 10.1.2.0 0.0.0.255 10.1.1.0
0.0.0.255
!
line con 0
line aux 0
line vty 0 4
password
cisco
login
!
end
!
上海路由器配置
!
service
timestamps debug uptime
service timestamps log uptime
no service
password-encryption
!
hostname shanghai
!
enable
cisco
!
!
!------以下配置加密--------
crypto isakmp policy 1
生成iskamp policy number 1
encryption des 选择用DES
encryption也可用3DES指定三倍DES加密
hash sha
指定使用的散列算法,也可以是md5(二端保持一致)
authentication pre-share
group 1
指定为Diffie-Hellman组,1表示768位,2表示1024位
lifetime 14400
指定安全关联的有效期,不设就为默认值
------以下配置密钥方法-----
crypto isakmp identity address
指定与远程路由器通信时使用isakmp标识
crypto isakmp key 654321 address 202.102.1.5
对远程路由器端口202.102.1.6使用密钥654321
crypto isakmp key 654321 address 202.102.1.6
对远程路由器端口202.102.1.6使用密钥654321
crypto isakmp key 654321 address 192.168.1.1
对远程路由器隧道端口192.168.1.2使用密钥654321
!
------以下定义一个转换集-----
crypto
ipsec transform-set tset1 ah-md5-hmac esp-des esp-md5-hmac
可以定义一个或多个集
!
!
-------以下建立加密图------
crypto map cmap1
local-address serial 0 定义加密图cmap1并指定s0为本地地址
crypto map cmap1 1 ipsec-isakmp
用序号1设置加密图
set peer 202.102.1.5 设定目标地址
set peer 202.102.1.6
set
peer 192.168.1.1
set transform-set test1 指定转换集
match address 111
指定加密访问列表111中的地址
!
!
process-max-time
200
!
-------以下设置隧道端口------
interface Tunnel0
ip address
192.168.1.2 255.255.255.0
tunnel source 202.102.1.6
tunnel destination
202.102.1.5
crypto map cmap
!
-------以下设置内网口------
interface
Ethernet0
ip address 10.1.2.1
255.255.255.0
!
-------以下设置外网口------
interface serial0
ip
address 202.102.1.6 255.255.255.0
no ip mroute-cache
no
fair-queue
crypto map cmap
!
ip
classless
!
-------以下建立访问列表111------
access-list 111 permit ip
host 202.102.1.5 host 202.102.1.6
access-list 111 permit ip host
202.102.1.6 host 202.102.1.5
access-list 111 permit ip 10.1.1.0 0.0.0.255
202.102.1.0 0.0.0.255
access-list 111 permit ip 10.1.2.0 0.0.0.255
202.102.1.0 0.0.0.255
access-list 111 permit ip 10.1.1.0 0.0.0.255 10.1.2.0
0.0.0.255
access-list 111 permit ip 10.1.2.0 0.0.0.255 10.1.1.0
0.0.0.255
!
line con 0
line aux 0
line vty 0 4
password
cisco
login
!
end
!