分享
 
 
 

Cisco路由器上手工方式VPN的实现

王朝other·作者佚名  2008-05-31
窄屏简体版  字體: |||超大  

Cisco 路由器上VPN的实现:

1、软件要求:

需要ENTERPRISE PLUS IPSEC 56的IOS,目前使用的比较稳定版本是12.07T

2、硬件要求:

8 MB Flash and 40 MB RAM

在Download IOS版本时,会提示所Download的IOS版本

的软硬件要求。

3、IPSec手工方式的注重事项:

(1)加密通道一旦建立,就不再断开

(2)Manual Key不提供anti-replay的功能

(3)在Manual Key方式时,Access-list中只有1条permit起作用,其他都被忽略。

(4)在Manual Key方式下,两边的transform set的名字必须一样。

4、VPN手工方式需要的主要命令:

(1)access-list

设置access-list,有对符合什么样条件的IP包进行加密。

(2)crypto isakmp

默认是使用crypto isakmp方式,所以在手工方式下,需要禁止此选项。

(3)crypto ipsec

配置IPSec的加密方式,选择manual方式

(4)crypto map

配置IPSec的加密方式

a)set peer

设置远程VPN网关

b)set security-association

设置安全联盟,主要有inbound和outbound

c)set transform-set

设置加密形式

d)match address

对匹配access-list的进行加密。

5、VPN的手工实现方式:

(1)配置access-list,对哪些包建立VPN连接。

access-list 101 permit ip host 192.168.0.1 host

192.168.1.1

(2)取消VPN的自动协商方式

no crypto isakmp enable

(3)建立一个IPSec的封装方式―两边的路由器需要一样的名称。在举例中是encry-des

crypto ipsec transform-set encry-desesp-des

(4)建立一个VPN连接需要的各种条件―这里是ipsec-manual方式

crypto map vpntest 8 ipsec-manual

(5)在上一步用crypto map进入crypto配置模式

a) 配置远程的VPN网关

set peer 202.106.185.2

b) 配置进出的安全联盟

set security-association inbound esp 1000 cipher 21 authenticator 01

配置入境联盟 加密方式 顺序号

set security-association outbound esp 1001 cipher 12 authenticator 01

c)设置IPSec的加密方式

set transform-set encry-des

d)对匹配地址进行加密

match address 101

(6)在路由器外部网口上绑定加密方式

int e 0/1

ip addr 202.106.185.1 255.255.255.0

crypto map vpntest

6、注重事项

(1)在两端的access-list要互为相反,如在A路由器上写:

access-list 101 permit ip host 192.168.0.1 host 192.168.1.1

则在B路由器上写:

access-list 101 permit ip host 192.168.1.1 host 192.168.0.1

(2)在两端的transform set名称要一致

如都写crypto ipsec transform-set encry-des esp-des

(3)在一端的inbound就是另一端的outboud,一端的outbound是另一端的inboud。因此他们的序列好应该相反。

如在A路由器上写:

set security-association inbound esp 1000 cipher 21 authenticator 01

set security-association outbound esp 1001 cipher 12 authenticator 01

则在B路由器上写:

set security-association inbound esp 1001 cipher 12 authenticator 01

set security-association outbound esp 1000 cipher 21 authenticator 01

(4)总之在使用手工方式时,在两端的配置应该尽量一样或相对。

7、应用条件

我认为在路由器上做VPN主要有以下几种应用:

(1)可以使用在电信中二级节点和一级节点进行远程治理认证时使用。而一级节点和骨干节点由于通讯量比较大,不建议使用VPN方式。而且为了减低负载只有在传输非凡应用时建议使用VPN,不是只是简单地判定Source IP,Destination IP。

(2)移动用户在跟自己公司的服务器进行连接时使用。

(3)对于分公司、母公司这种形式在相互通信过程中使用。

8、用VPN的好处

(1)节约成本,因为不要在做大量投资,购买专业设备,只需用现有的路由器即可。

(2)实现了加密,保证重要数据在传输过程中的安全性。

(3)灵活性强。假如用户通过路由器接入Internet,则可以自己配置保证安全性。不过对于ISP来说用处不大。

9、VPN应用举例:

在路由器R1上配置如下:

no crypto isakmp enable

crypto ipsec transform-set encry-des esp-des

crypto map vpntest 8 ipsec-manual

set peer 202.106.185.2

set security-association inbound esp 1000 cipher 21 authenticator 01

set security-association outbound esp 1001 cipher 12 authenticator 01

set transform-set encry-des match address 101

interface Ethernet0/0

ip address 192.168.0.1 255.255.255.0

interface Ethernet0/1

ip address 202.106.185.1 255.255.255.0

crypto map vpntest

ip route 0.0.0.0 0.0.0.0 202.106.185.2

access-list 101 permit ip host 192.168.0.1 host 192.168.1.1

在路由器R2上配置如下:

no crypto isakmp enable

crypto ipsec transform-set encry-des esp-des

crypto map vpntest 8 ipsec-manual set peer 202.106.185.1

set security-association inbound esp 1001 cipher 12 authenticator 01

set security-association outbound esp 1000 cipher 21 authenticator 01

set transform-set encry-des match address 101

interface Ethernet0/0

ip address 192.168.1.1 255.255.255.0

interface Ethernet0/1

ip address 202.106.185.2 255.255.255.0

crypto map vpntest

ip route 0.0.0.0 0.0.0.0 202.106.185.1

access-list 101 permit ip host 192.168.1.1 host 192.168.0.1

IKE方式的实现

1、IKE使用UPD 500

2、支持CA

3、支持移动用户

IKE包括的组件:

1、DES

2、Diffie-Hellman-preshare key

3、RSA signatures(CA)and RSA encrypted nonces

IKE配置内容:

1、enable IKE―default enable

2、accesslist

3、transformset

4、crypto map

5、binding interface

IKE Policy―两边的号码可以不一样,匹配:

authentication、hash、diff-herman、encrytpion,lifetime(取最小值)

1、authentication

(1)RSA signature

(2)RSA non

(3)Preshare Key

2、encryption

IKE配置

(1)配置accesslist

(2)crypto isakmp enable(默认打开,但为了避免,还是写上)

(3)crypto isakmp policy 10

a)encryption algorithm:DES

b)hash algorithm:SHA1

c)authentication method:RSA sig

d)Diffie-Hellman group:1

e)Lifetime:86400

(4)crypto isakmp key test address 202.106.100.2

(5)crypto ipsec transform-set set2 ah-sha-hmac

esp-des esp-sha-hmac

(6)crypto map IKE ipsec-isakmp

a)set peer remote IP

b)set transform-set

c)set pfs group2

d)match address

(7)dir

使用RSA的-encr方式

ip domain-name

crypto key generate rsa

sh crypto key mypubkey rsa

crypto key pubkey-chain rsa

key-string

什么时候使用手工方式,什么时候使用IKE方式

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有