cisco VPN 实验笔记

加密点不等于通讯点为Tunnel Mode

IKEv1 配置实例

VPN触发的过程：

1.包进入VPN设备，检查远端通讯点的路由，路由引导流量出适当的接口
2.包在出接口过程中撞击上MAP
3.流量匹配上MAP的ACL（感兴趣流），触发加密
4.发起和PEER的IKE协商，VPN设备检查去忘PEER（远端加密点）的路由

1.设备配置基础配置
BR1#show ip int b
Interface              IP-Address      OK? Method Status                Protocol
FastEthernet0/0              172.16.1.2      YES manual up                    up      
Loopback0              192.168.1.1     YES manual up                    up  
  
静态路由：ip route 192.168.2.0 255.255.255.0 172.16.1.1
------------------------------------------------
Branch#show ip int br
Interface           IP-Address      OK? Method Status                Protocol
FastEthernet0/0        162.106.1.1     YES manual up                    up      
FastEthernet1/0        172.16.1.1      YES manual up                    up

静态路由
ip route 192.168.1.0 255.255.255.0 172.16.1.2
ip route 192.168.2.0 255.255.255.0 162.106.1.254
ip route 202.100.1.0 255.255.255.0 162.106.1.254
-------------------------------------------------
Internet#show ip int br
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0/0            162.106.1.254   YES manual up                    up      
FastEthernet1/0            202.100.1.254   YES manual up                    up 
------------------------------------------------------
ciscoasa(config)# show int ip br
Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0         10.1.1.10       YES manual up                    up  
GigabitEthernet0/1         202.100.1.10    YES manual up                    up 

route outside 0.0.0.0 0.0.0.0 202.100.1.254 1
route inside 192.168.2.0 255.255.255.0 10.1.1.1 1
route inside 0.0.0.0 0.0.0.0 10.1.1.1 tunneled
------------------------------------------------------
Inside#show ip int br
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0/0                 10.1.1.1        YES manual up                    up       
Loopback0                  192.168.2.1     YES manual up  

静态路由：ip route 192.168.1.0 255.255.255.0 10.1.1.10                  
-----------------------------------------------------------------------

2.激活ISAKMP

    IOS:crypto isakmp enable
    ASA:crypto ikev1 enable outside
3.配置ISAKMP策略：
    crypto isakmp policy 10
    encryption 3des
    hash md5
    authentication  Pre-Share
    group 2
-----------------------------------------
  ciscoasa(config)# crypto ikev1 policy 10
    ciscoasa(config-ikev1-policy)# encryption 3des
    ciscoasa(config-ikev1-policy)# hash md5
    ciscoasa(config-ikev1-policy)# authentication pre-share 
    ciscoasa(config-ikev1-policy)# group 2
4.配置ISAKMP预共享密码
 crypto isakmp key vpnkey address 202.100.1.10
 -----------------
 ciscoasa(config)# tunnel-group 162.106.1.1 type ipsec-l2l 
 ciscoasa(config)# tunnel-group 162.106.1.1 ipsec-attributes
 ciscoasa(config-tunnel-ipsec)# ikev1 pre-shared-key vpnkey
5.配置感兴趣流
 ip access-list extended vpn
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
 --------------
 access-list vpn extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
6.配置IPSec策略（转换集）
crypto ipsec transform-set transvpn esp-des esp-md5-hmac
----------------------------------------------
crypto ipsec ikev1 transform-set tranvpn esp-des esp-md5-hmac

7.配置crypto map（第二阶段）
  crypto map cry-map 10 ipsec-isakmp 
 set peer 202.100.1.10
 set transform-set transvpn 
 match address vpn
 --------------------------------------------
 ciscoasa(config)# crypto map cry-map 10 match address vpn
  ciscoasa(config)# crypto map cry-map 10 set peer 162.106.1.1
  ciscoasa(config)# crypto map cry-map 10 set ikev1 transform-set transvpn
8.调用crypto map
 interface FastEthernet0/0
 ip address 162.106.1.1 255.255.255.0
 crypto map cry-map
 -----------------------------------------------------
 ciscoasa(config)# crypto map cry-map interface outside
 
9.ping测试
    BR1#ping 192.168.2.1 so 192.168.1.1 
        
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
    Packet sent with a source address of 192.168.1.1 
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 32/43/60 ms
    
10.查看IKE SA

    Branch#show crypto isakmp sa
    IPv4 Crypto ISAKMP SA
    dst             src             state          conn-id status
    202.100.1.10    162.106.1.1     QM_IDLE           1001 ACTIVE

10.查看IPSec SA
    show crypto ipsec sa
11.
    Branch#show crypto engine connections active 
    Crypto Engine Connections
    
       ID  Type    Algorithm           Encrypt  Decrypt LastSeqN IP-Address
        1  IPsec   DES+MD5                   0      110      110 162.106.1.1
        2  IPsec   DES+MD5                 114        0        0 162.106.1.1
     1001  IKE     MD5+3DES                  0        0        0 162.106.1.1

时间： 2024-10-03 23:28:49

cisco VPN 实验笔记的相关文章

cisco vpn 学习笔记--第四天

第一部分动态地址解决方案 1.1 动态MAP VS 静态MAP 中心有固定ip地址但是分支机构没有固定ip地址,如果都是cisco设备,建议采用EZVPN来解决. 如果不都是cisco产品,这是唯一的解决方法配置要点: center: crypto isakmkp key cisco address 0.0.0.0 0.0.0.0 由于远端地址为动态,所以只能使用八个零的配置方式由于不清楚对端地址,也不清楚感兴趣流,所以只配置转换集,具体peer和感兴趣流协商决定 crypto map c

GNS3 L2TP VPN实验详解

先简单简述一下常用的VPN分类: 主要分为两大类: 第一类:PPTP VPN .L2TP VPN .IPSEC VPN. 第二类:SSL VPN 应用区别: PPTP VPN .L2TP VPN相对比较简单,主要用于移动用户通过VPN访问 VPN内部资源. IPSEC VPN更加安全可靠,一般应用于固定用户访问VPN内部资源 SSL VPN 主要应用在web平台上,使客户可以通过安全的方式访问内部服务器. 下面开始L2TP VPN实验,实验环境:GNS3 主机win7 ISP: Isp(

IPSec VPN实验

IPSec VPN实验实验拓扑: 实验目的:掌握IPSec VPN原理掌握site-to-site VPN配置 IPSec配置参数: IKE policy isakmp key 转换集加密算法 3DES 哈希算法 MessageDigest 5 认证方式 Pre-Shared Key Diffie-Hellman组 #2 (1024 bit) cisco 载荷加密算法esp-3des 载荷散列算法esp-sha-hmac 认证头 ah-sha-hmac 实验需求: 在R1.R2间配置sit

cisco vpn timeout

Configuration > Remote Access VPN > Network (Client) Access > Advanced > Endpoint Security > Global NAC Parameters cisco vpn timeout,布布扣,bubuko.com

Error 56: The Cisco Systems, Inc. VPN Service has not been started（Cisco VPN在Vista下出现Error 56的解决办法）

Error 56: The Cisco Systems, Inc. VPN Service has not been started(Cisco VPN在Vista下出现Error 56的解决办法) 似乎,自从我的Vista自动升级安装了SP1后,我的Cisco VPN就出现问题了,根本就无法运行.总是提示Error 56: The Cisco Systems, Inc. VPN Service has not been started. Please start this service an

Cisco VPN on Windows 8.1/10 – Reason 442: Failed to enable Virtual Adapter

一.问题描述: 因为工作需要,使用Cisco VPN客户端,连接远程的服务器进行一些软件的安装和维护. 在使用过程中,碰到如下问题: 1.思科的VPN客户端分32位和64位,win8.1需要安装64位的,否则报: 2:安装好VPN客户端,连接时报如下错误: Secure VPN Connection terminated locally by the Client.Reason 442: Failed to enable Virtual Adapter. 二.解决方案经过查找资料,发现可通过如

[Ubuntu]操作系统实验笔记

前些日子为了更新Ubuntu到14.04这个LTS版本,连带着把Windows也重新安装了一遍.懒得再安装虚拟机了,尝试一下在Ubuntu14.04这个64位系统里做操作系统实验咯. 1.安装交叉编译器第一个要解决的问题就是交叉编译器,材料里提供的是x86平台上的交叉编译器.按道理来说64位系统应该是支持32程序的呢.试一下. 先不吐槽说说明文档里面的代码了.首先要解决的是各种权限问题.sudo su似乎不能全部搞定. 经过一堆权限不够的提示后我对安装已经基本没有信心了. 2.安装gxemul

解决Cisco VPN Client Reason 442: Failed to Enable Virtual Adapter

解决Cisco VPN Client Reason 442: Failed to Enable Virtual Adapter 我发现最近在家里通过Cisco VPN Client 连接到VPN服务器的时候,客户端经常报错. 点连接后,过一会儿出现一个对话框:Secure VPN connection terminated locally by the client.Reason 442: Failed to Enable Virtual Adapter.Connection terminate

如何解决Windows8.1(32bit&64bit)下Cisco VPN Client拔号时报442错误的问题

Cisco VPN Cient是广大网络管理员.技术支持工程师和终端用户使用的最流行的VPN客户端之一,用于外网访问公司内部网络,尤其是广大在外出差技术类人员.随着Windows8.1的推出,Cisco VPN用户常面临一个问题,Cisco VPN软件能正常安装但是并不能连接到远程的VPN网络,无论是Windows8.1的32bit版本还是64bit版本,在拔号时都会报出442的错误,如下图所示: 经查资料,原来是注册表的错误造成的,以下是解决方法: 1."Win+R",打开Run命令