Cisco网络技术论坛

返回   Cisco网络技术论坛 > Cisco专区 > Cisco技术高级讨论区

Cisco技术高级讨论区 讨论Cisco较深和较全面的问题,此栏目帖子是从cisco技术区选出,由斑竹移到此区,不能发贴,可以跟贴

发表新主题 回复
推荐为精华主题  
主题工具
旧 2003-04-24, 16:08   #1
yc_liang
圣主
级别:16 | 在线时长:345小时 | 升级还需:12小时级别:16 | 在线时长:345小时 | 升级还需:12小时级别:16 | 在线时长:345小时 | 升级还需:12小时级别:16 | 在线时长:345小时 | 升级还需:12小时
 
yc_liang 的头像
 
注册日期: Apr 2003
住址: 广州市
帖子: 960
积分:1
精华:4
现金:1259金币
资产:1259金币
声望力: 16
声望: 18 yc_liang 向着好的方向发展
声望力: 16
yc_liang 向着好的方向发展
VPN的基本配置

工作原理:
一边服务器的网络子网为192.168.1.0/24
路由器为100.10.15.1
另一边的服务器为192.168.10.0/24
路由器为200.20.25.1。
执行下列步骤:
1. 确定一个预先共享的密钥(保密密码)(以下例子保密密码假设为noIP4u)
2. 为SA协商过程配置IKE。
3. 配置IPSec。
配置IKE:
Shelby(config)#crypto isakmp policy 1
注释:policy 1表示策略1,假如想多配几个VPN,可以写成policy 2、policy3┅
Shelby(config-isakmp)#group 1
注释:除非购买高端路由器,或是VPN通信比较少,否则最好使用group 1长度的密钥,group命令有两个参数值:1和2。参数值1表示密钥使用768位密钥,参数值2表示密钥使用1024位密钥,显然后一种密钥安全性高,但消耗更多的CPU时间。
Shelby(config-isakmp)#authentication pre-share
注释:告诉路由器要使用预先共享的密码。
Shelby(config-isakmp)#lifetime 3600
注释:对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是两端的路由器都要设置相同的SA周期,否则VPN在正常初始化之后,将会在较短的一个SA周期到达中断。
Shelby(config)#crypto isakmp key noIP4u address 200.20.25.1
注释:返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址,即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似,只不过把IP地址改成100.10.15.1。
配置IPSec
Shelby(config)#access-list 130 permit ip 192.168.1.0 0.0.0.255 172.16.10.0 0.0.0.255
注释:在这里使用的访问列表号不能与任何过滤访问列表相同,应该使用不同的访问列表号来标识VPN规则。
Shelby(config)#crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac
注释:这里在两端路由器唯一不同的参数是vpn1,这是为这种选项组合所定义的名称。在两端的路由器上,这个名称可以相同,也可以不同。以上命令是定义所使用的IPSec参数。为了加强安全性,要启动验证报头。由于两个网络都使用私有地址空间,需要通过隧道传输数据,因此还要使用安全封装协议。最后,还要定义DES作为保密密码钥加密算法。
Shelby(config)#crypto map shortsec 60 ipsec-isakmp
注释:以上命令为定义生成新保密密钥的周期。如果攻击者破解了保密密钥,他就能够解使用同一个密钥的所有通信。基于这个原因,我们要设置一个较短的密钥更新周期。比如,每分钟生成一个新密钥。这个命令在VPN两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称,稍后可以将它与路由器的外部接口建立关联。
Shelby(config-crypto-map)#set peer 200.20.25.1
注释:这是标识对方路由器的合法IP地址。在远程路由器上也要输入类似命令,只是对方路由器地址应该是100.10.15.1。
Shelby(config-crypto-map)#set transform-set vpn1
Shelby(config-crypto-map)#match address 130
注释:这两个命令分别标识用于这个连接的传输设置和访问列表。
Shelby(config)#interface s0
Shelby(config-if)#crypto map shortsec
注释:将刚才定义的密码图应用到路由器的外部接口。
现在剩下的部分是测试这个VPN的连接,并且确保通信是按照预期规划进行的。
最后一步是不要忘记保存运行配置,否则所作的功劳白费了。

附:参照网络安全范围,VPN硬件设备应放置以下四个地点:
● 在DMZ的防火墙之外
● 连接到防火墙的第三个网卡(服务网络)
● 在防火墙保护的范围之内
● 与防火墙集成
帅哥 yc_liang 当前离线  
回复时引用此帖
旧 2003-04-24, 16:35   #2
病书生
the one of net130
级别:68 | 在线时长:5006小时 | 升级还需:31小时级别:68 | 在线时长:5006小时 | 升级还需:31小时级别:68 | 在线时长:5006小时 | 升级还需:31小时级别:68 | 在线时长:5006小时 | 升级还需:31小时级别:68 | 在线时长:5006小时 | 升级还需:31小时级别:68 | 在线时长:5006小时 | 升级还需:31小时级别:68 | 在线时长:5006小时 | 升级还需:31小时级别:68 | 在线时长:5006小时 | 升级还需:31小时
 
注册日期: Aug 2004
住址: 常磐平
帖子: 10,180
精华:1
现金:19677金币
资产:19677金币
声望力: 24
声望: 82 病书生 是将要出名的人啊
声望力: 24
病书生 是将要出名的人啊
又来精品,应接不暇

――――――――――――――――――――――――――――
――――――――――――――――――――――――――――
如果我帮你解决了你的问题,请你一定也帮忙回答其他网友提出的问题!!!
---------------------------------
---------------------------------
天若有情天亦老,不许人间见白头
病书生 当前离线  
回复时引用此帖
旧 2003-04-24, 16:38   #3
yanghui
注册用户
级别:22 | 在线时长:617小时 | 升级还需:4小时级别:22 | 在线时长:617小时 | 升级还需:4小时级别:22 | 在线时长:617小时 | 升级还需:4小时级别:22 | 在线时长:617小时 | 升级还需:4小时级别:22 | 在线时长:617小时 | 升级还需:4小时级别:22 | 在线时长:617小时 | 升级还需:4小时
 
yanghui 的头像
 
注册日期: Apr 2003
住址: 山东济南
帖子: 1,949
积分:-1
精华:-1
现金:3753金币
资产:3753金币
声望力: 17
声望: 10 yanghui 向着好的方向发展
声望力: 17
yanghui 向着好的方向发展
确实不错

可以告诉大家好东西在什么地方,大家共同挖掘阿!

[color=royal blue]没有做不到的,只有想不到的。[/color]
http://bbs.net130.com/attachment.php?s=&postid=11090
yanghui 当前离线  
回复时引用此帖
旧 2003-04-24, 17:26   #4
pioneer
网络游子
级别:10 | 在线时长:147小时 | 升级还需:18小时级别:10 | 在线时长:147小时 | 升级还需:18小时
 
pioneer 的头像
 
注册日期: Apr 2003
住址: hefei
帖子: 404
现金:808金币
资产:808金币
声望力: 16
声望: 10 pioneer 向着好的方向发展
声望力: 16
pioneer 向着好的方向发展
确实好,不过不适合在此区发布,将其专至cisco区
pioneer 当前离线  
回复时引用此帖
旧 2003-04-24, 17:54   #5
chengxbo
注册用户
级别:0 | 在线时长:3小时 | 升级还需:2小时
 
chengxbo 的头像
 
注册日期: Apr 2003
住址: 河北省
帖子: 17
现金:34金币
资产:34金币
声望力: 0
声望: 10 chengxbo 向着好的方向发展
声望力: 0
chengxbo 向着好的方向发展
真是好!谢谢!!


--------------
chengxbo
chengxbo 当前离线  
回复时引用此帖
旧 2003-04-24, 20:53   #6
oicq111
注册用户
级别:4 | 在线时长:34小时 | 升级还需:11小时级别:4 | 在线时长:34小时 | 升级还需:11小时级别:4 | 在线时长:34小时 | 升级还需:11小时级别:4 | 在线时长:34小时 | 升级还需:11小时
 
注册日期: Apr 2003
住址: beijing
帖子: 6
现金:12金币
资产:12金币
声望力: 0
声望: 10 oicq111 向着好的方向发展
声望力: 0
oicq111 向着好的方向发展
谢谢
oicq111 当前离线  
回复时引用此帖
旧 2003-04-25, 09:32   #7
load
大胡子
级别:32 | 在线时长:1152小时 | 升级还需:69小时级别:32 | 在线时长:1152小时 | 升级还需:69小时级别:32 | 在线时长:1152小时 | 升级还需:69小时级别:32 | 在线时长:1152小时 | 升级还需:69小时
 
load 的头像
 
注册日期: Apr 2003
住址: 广州
帖子: 2,812
现金:5178金币
资产:5178金币
声望力: 21
声望: 358 load 即将成功的新星load 即将成功的新星load 即将成功的新星load 即将成功的新星
声望力: 21
load 即将成功的新星load 即将成功的新星load 即将成功的新星load 即将成功的新星
请以后继续发!

我是大胡子,大胡子是我
load 当前离线  
回复时引用此帖
旧 2004-04-13, 15:19   #8
H35988
注册用户
级别:2 | 在线时长:16小时 | 升级还需:5小时级别:2 | 在线时长:16小时 | 升级还需:5小时
 
注册日期: Mar 2004
住址: beijing
帖子: 7
现金:14金币
资产:14金币
声望力: 0
声望: 10 H35988 向着好的方向发展
声望力: 0
H35988 向着好的方向发展
文章不错!
H35988 当前离线  
回复时引用此帖
旧 2004-04-14, 09:19   #9
veision
注册用户
级别:4 | 在线时长:40小时 | 升级还需:5小时级别:4 | 在线时长:40小时 | 升级还需:5小时级别:4 | 在线时长:40小时 | 升级还需:5小时级别:4 | 在线时长:40小时 | 升级还需:5小时
 
注册日期: Apr 2004
住址: 济南市
帖子: 27
现金:61金币
资产:61金币
声望力: 0
声望: 10 veision 向着好的方向发展
声望力: 0
veision 向着好的方向发展
是吗?
veision 当前离线  
回复时引用此帖
旧 2004-04-14, 11:50   #10
fjingxu
注册用户
级别:11 | 在线时长:171小时 | 升级还需:21小时级别:11 | 在线时长:171小时 | 升级还需:21小时级别:11 | 在线时长:171小时 | 升级还需:21小时
 
注册日期: Apr 2004
住址: ffff
帖子: 96
现金:208金币
资产:208金币
声望力: 15
声望: 10 fjingxu 向着好的方向发展
声望力: 15
fjingxu 向着好的方向发展
真的不错。谢谢!
fjingxu 当前离线  
回复时引用此帖
旧 2004-04-15, 10:43   #11
quhl_baichao
注册用户
级别:5 | 在线时长:55小时 | 升级还需:5小时
 
注册日期: Apr 2004
住址: 北京海淀区
帖子: 4
现金:8金币
资产:8金币
声望力: 0
声望: 10 quhl_baichao 向着好的方向发展
声望力: 0
quhl_baichao 向着好的方向发展
policy 1 中少一条!!!

加密方法
quhl_baichao 当前离线  
回复时引用此帖
旧 2004-04-15, 18:44   #12
xby
注册用户
级别:0 | 在线时长:3小时 | 升级还需:2小时
 
注册日期: Apr 2004
住址: suzhou
帖子: 3
现金:6金币
资产:6金币
声望力: 0
声望: 10 xby 向着好的方向发展
声望力: 0
xby 向着好的方向发展
赞成

GOOD !!
xby 当前离线  
回复时引用此帖
旧 2004-04-19, 02:06   #13
samhui
注册用户
级别:8 | 在线时长:104小时 | 升级还需:13小时级别:8 | 在线时长:104小时 | 升级还需:13小时级别:8 | 在线时长:104小时 | 升级还需:13小时级别:8 | 在线时长:104小时 | 升级还需:13小时
 
samhui 的头像
 
注册日期: Sep 2003
住址: China
帖子: 117
现金:231金币
资产:231金币
声望力: 15
声望: 10 samhui 向着好的方向发展
声望力: 15
samhui 向着好的方向发展
太多精品了。。。
harddisk不够太呀
samhui 当前离线  
回复时引用此帖
旧 2004-05-05, 22:19   #14
jack_123
注册用户
级别:5 | 在线时长:46小时 | 升级还需:14小时
 
注册日期: Apr 2004
住址: 苏州
帖子: 13
现金:26金币
资产:26金币
声望力: 0
声望: 10 jack_123 向着好的方向发展
声望力: 0
jack_123 向着好的方向发展
这个是在路由器上实现的吧?

有没有在pix上实现的配置说明?

ccna――〉ccnp――〉ccie
jack_123 当前离线  
回复时引用此帖
旧 2004-05-06, 18:24   #15
人生如梦
注册用户
级别:9 | 在线时长:127小时 | 升级还需:13小时级别:9 | 在线时长:127小时 | 升级还需:13小时级别:9 | 在线时长:127小时 | 升级还需:13小时级别:9 | 在线时长:127小时 | 升级还需:13小时级别:9 | 在线时长:127小时 | 升级还需:13小时
 
人生如梦 的头像
 
注册日期: Jul 2003
住址: jiangshu
帖子: 36
现金:60金币
资产:60金币
声望力: 0
声望: 10 人生如梦 向着好的方向发展
声望力: 0
人生如梦 向着好的方向发展
请以后继续!ding
人生如梦 当前离线  
回复时引用此帖
发表新主题 回复

主题工具

发帖规则
不可以发表新主题
不可以发表回复
不可以上传附件
不可以编辑自己的帖子

启用 BB 代码
论坛启用 表情符号
论坛启用 [IMG] 代码
论坛禁用 HTML 代码

论坛跳转


所有时间均为北京时间。现在的时间是 15:37


Powered by vBulletin® 版本 3.8.3
版权所有 ©2000 - 2018,Jelsoft Enterprises Ltd.
增强包 [3.4] 制作: PHP源动力   官方中文站: vBulletin 中文
Copyright © 2003 - 2013 Net130.com, All Rights Reserved 备案号:皖ICP备11007528号