低成本高安全某集团VPN组网案例( 二 ) _云知道

2．VPN的ISAKMP阶段
在完成规划后，可以进行VPN ISAKMP阶段的实施。VPN的站点到站点之间的实施在这一阶段中需要完成VPN功能的启用、第一阶段策略的建立、身份验证方法的定义、加密算法的确定、密钥交换方法的明确、HASH算法的设置、链路存活时间的设置、站点标识的实现及预先共享验证方法等。在这一阶段中需要在站点之间进行上述内容的一致性检查。在保证一致性后，才能有效地建立链路。
3．VPN的IPsec阶段
在完成第1阶段后，VPN的第2阶段工作就要开展了。在这一阶段中，出现问题的概率最高。所以提醒网络管理员在配置时一定要注意。在这一阶段中将完成转换器的定义、第2阶段链路的存活时间、VPN流量的定义、映射的建立、对等体的明确和映射的实施。这个阶段的工作在第1阶段的所有参数协商成功后，才能起作用。这个阶段涉及到的参数比较多，同样也要保证参数的一致性。具体的参数设置将在14.2.2节中介绍。
4．VPN的验证
这是在VPN配置完成后，利用本章前面的验证命令来检测搭建的VPN是否能正常有效地工作。这一阶段难度较大，尤其是在VPN无法正常工作时的排错。
泰达集团VPN实施步骤
考虑到各个站点的相同性，在具体实例讲解中选取了经典3站点的配置。如果网络管理员在工作中遇到超过3个站点，参照此配置即可。3个站点之间的VPN线路的实施可以说涵盖了同VPN相关的全部知识，在具体的实例中会按照每站点方式来实现。泰达集团3站点配置拓扑如图1所示。
泰达集团VPN实施部分拓扑（选取3站方式）
北京总部的路由器命令为Routerbj，具体步骤配置如下。
Routerbj(config)# crypto isakmp enable
Routerbj(config)# crypto isakmp policy 110
Routerbj(config-isakmp)# authentication pre-share
Routerbj(config-isakmp)# encryption des
Routerbj(config-isakmp)# group 1
Routerbj(config-isakmp)# hash md5
Routerbj(config-isakmp)# lifetime 86400
Routerbj(config-isakmp)#exit
Routerbj(config)#rypto isakmp identity address
Routerbj(config)# crypto isakmp key cisco1234 address 172.30.2.2
Routerbj(config)# crypto isakmp key cisco1234 address 172.30.3.2
Routerbj(config)#crypto IPsec transform mine esp-des
Routerbj(config)#crypto map mymap 10 IPsec-isakmp
Routerbj(config-crypto-map)#set peer 172.30.2.2
Routerbj(config-crypto-map)#set peer 172.30.3.2
Routerbj(config-crypto-map)#set transform-set mine
Routerbj(config-crypto-map)#match address 110
Routerbj(config-crypto-map)#exit
Routerbj(config)#access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255
Routerbj(config)#access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.3.0 0.0.0.255
Routerbj(config)#interface Ethernet 0/1
Routerbj(config-if)#crypto map mymap
上海分支机构的路由器命令为Routersh，具体步骤配置如下。
Routersh(config)# crypto isakmp enable
Routersh(config)# crypto isakmp policy 110
Routersh(config-isakmp)# authentication pre-share
Routersh(config-isakmp)# encryption des
Routersh(config-isakmp)# group 1
Routersh(config-isakmp)# hash md5
Routersh(config-isakmp)# lifetime 86400
Routersh(config-isakmp)#exit
Routersh(config)#rypto isakmp identity address
Routersh(config)# crypto isakmp key cisco1234 address 172.30.1.2
Routersh(config)#crypto IPsec transform mine esp-des
Routersh(config)#crypto map mymap 10 IPsec-isakmp
Routersh(config-crypto-map)#set peer 172.30.1.2
Routersh(config-crypto-map)#set transform-set mine
Routersh(config-crypto-map)#match address 110
Routersh(config-crypto-map)#exit
Routersh(config)#access-list 110 permit tcp 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255

低成本高安全某集团VPN组网案例( 二 )

推荐阅读

多肉叶子掉光了怎么救，多肉叶子掉光了怎么回事？

梦幻西游野生千年僵尸技能是什么

面粉生了小黑虫还能吃吗面粉里小黑虫叫什么

电砂锅可以熬中药吗电砂锅可不可以熬中药

梦见和不熟悉的人接吻梦见和不熟悉的人接吻是什么意思

泰国平安保险网红泰国报平安

鲜食甜玉米种植五要领

铜多少钱一斤 2022铜多少钱一斤

世界的界组词界组词造句

康乃馨怎么养护康乃馨怎么养护与繁殖

考拉海购怎么退出账号。

侗年的由来

半年体验

抖音点了爱心取消了对方会有通知吗抖音点了爱心怎么取消关注

生活中常见的急救小常识

车牌用多久可以保留原号

低成本 高安全 某集团VPN组网案例( 二 )

推荐阅读

低成本高安全某集团VPN组网案例( 二 )