云南龙网

  1. 首页 > 云知道 > >

低成本 高安全 某集团VPN组网案例( 三 )

云知道


Routersh(config)#interface Ethernet 0/1
Routersh(config-if)#crypto map mymap
西安分支机构的路由器命令为Routerxa,具体步骤配置如下 。
Routerxa(config)# crypto isakmp enable
Routerxa(config)# crypto isakmp policy 110
Routerxa(config-isakmp)# authentication pre-share
Routerxa(config-isakmp)# encryption des
Routerxa(config-isakmp)# group 1
Routerxa(config-isakmp)# hash md5
Routerxa(config-isakmp)# lifetime 86400
Routerxa(config-isakmp)#exit
Routerxa(config)#rypto isakmp identity address
Routerxa(config)# crypto isakmp key cisco1234 address 172.30.1.2
Routerxa(config)#crypto IPsec transform mine esp-des
Routerxa(config)#crypto map mymap 10 IPsec-isakmp
Routerxa(config-crypto-map)#set peer 172.30.1.2
Routerxa(config-crypto-map)#set transform-set mine
Routerxa(config-crypto-map)#match address 110
Routerxa(config-crypto-map)#exit
Routerxa(config)#access-list 110 permit tcp 10.0.3.0 0.0.0.255 10.0.1.0 0.0.0.255
Routerxa(config)#interface Ethernet 0/1
Routerxa(config-if)#crypto map mymap
至此,一个3站点VPN的配置完成 。
这个实例的难点在于如何确认哪些流量在通过线路时能够启用VPN的通信,它们的关键在于ACL的定义 。第11章用大量的篇幅介绍了ACL技术,但ACL中的Permit和Deny两个动作在VPN中发生了变化,不再是允许通过和拒绝通过的概念 。
在VPN中,Permit代表该流量需要加密传递,换另外一种说法,就是对该流量使用VPN链路传递;Deny代表该流量不需要加密传递,不对该流量使用VPN链路传递 。所以请网络管理员在使用ACL时需要注意此处的定义 。
Easy VPN的配置
本节之前介绍的案例是站点到站点VPN,实现站点到站点的VPN和远距离工作者或工作在外的员工所使用的远程访问类型的VPN不同的是:站点到站点VPN利用连接两端的网关,(Internet上)网关到网关的流量是加密的 。
为了向远距离工作者或工作在外的员工所提供的远程访问类型的VPN,是不是也要配置那么多的命令和参数呢?很多用户会提出有没有简单点的VPN配置来完成这样的要求 。本节介绍一种简单的VPN配置,即Easy VPN 。
Easy VPN概述
从Easy VPN的名字上就知道这应该是个简单的VPN应用技术 。Easy VPN分为Easy VPN Server和Easy VPN Remote两种 。Easy VPN Server是Remote-Access VPN专业设备,配置复杂,支持Policy Pushing等特性 。现在的900、1700、Pix、Vpn 3002和ASA等很多设备都支持 。
而Easy VPN Remote就是专门为了小的分支机构所设计的,一般情况下,小分支接口的网络管理员的水平没有那么高,不可能去配置一堆复杂命令来实现Site-to-Site VPN,这时候,只需要通过Easy VPN Remote这个特性配置几条简单的命令,就可以Site-to-Site VPN 。所有的配置都在Server端来完成,Client的VPN配置都由Server端采用"推"的方式应用到分支机构的设备上 。这种技术极大地避免了分支机构配置VPN失败的问题 。但这种VPN不支持路由,不支持组播,只能在IP协议下工作,不支持状态故障切换等技术 。所以,需要网络管理员在自己的实际工作中留意这些功能是否需要,再决定是否实施Easy VPN技术 。
基于命令行的Easy VPN配置实例
下面介绍一个基于IOS命令行的Easy VPN Server/Remote配置实例,如图2所示 。
Easy VPN接入
RouterServer的配置如下 。
crypto isakmp policy 1
encryption 3des
authentication pre-share
group 2
crypto isakmp client configuration address-pool local pool192
ip local pool pool192 192.168.1.1 192.168.1.254
crypto isakmp client configuration group vclient-group
key vclient-key
domain test.com
pool pool192
crypto IPsec transform-set vclient-tfs esp-3des esp-sha-hmac

推荐阅读


上一篇:兔子一般煮多久可以吃,兔子需要煮多久可以吃

下一篇:手表戴哪只手