CiscoVPN配置()好资料.doc

Cisco VPN配置 Ip sec参考 基于IPSEC的VPN配置步骤 第一步 配置IKE协商 R1(config)#crypto isakmp policy 1? 建立IKE协商策略 R1(config-isakmap)# hash md5????? 设置密钥验证所用的算法 R1(config-isakmap)# authentication pre-share? 设置路由要使用的预先共享的密钥 R1(config)#? crypto isakmp key? 123? address 192.168.1.2? 设置共享密钥和对端地址 123是密钥 R2(config)#crypto isakmp policy 1? R2(config-isakmap)# hash md5????? R2(config-isakmap)# authentication pre-share? R2(config)#? crypto isakmp key? 123? address 192.168.1.1 第二步 配置IPSEC相关参数 R1(config)# crypto ipsec transform-set cfanhome ah-md5-hmac esp-des? 配置传输模式以及验证的算法和加密的的算法? cfanhome这里是给这个传输模式取个名字 R1(config)# access-list 101 permit ip? any any 我这里简单的写 但是大家做的时候可不能这样写 这里是定义访问控制列表 R2(config)# crypto ipsec transform-set cfanhome ah-md5-hmac esp-des? 两边的传输模式的名字要一样 R2(config)# access-list 101 permit ip? any any? 第三步 应用配置到端口 假设2个端口都是s0/0 R1(config)# crypto map cfanhomemap 1 ipsec-isakmp 采用IKE协商，优先级为1 这里的cfanhomemap是一个表的名字 R1(config-crypto-map)#? set peer 192.168.1.2 指定VPN链路对端的IP地址 R1(config-crypto-map)#? set transform-set? cfanhome? 指定先前所定义的传输模式 R1(config-crypto-map)#? match address 101 指定使用的反问控制列表 这里的MATCH是匹配的意思 R1(config)# int s0/0 R1(config-if)# crypto map cfanhomemap 应用此表到端口 ????? R2和R1在最后的配置基本一样 这里就不一一写出来了 ——————————————————————————————————————– IPsec配置超级指南（大纲，说明，实例，实验） IPsec-VPN–virtual private network 什么是VPN–虚拟专用网 VPN作用–通过公网实现远程连接，将私有网络联系起来 VPN的类型： 1、overlay的VPN，例如IPsec-VPN 2、peer-to-peer的VPN，例如MPLS-VPN 还可以分为二层VPN和三层VPN IPsec-VPN是三层的VPN IPsec-VPN的分类: 1、site-to-site VPN 也叫 LAN-to-LAN VPN （要求两个站点都要有固定的IP） 2、EASY-VPN 也叫 remote VPN （通常用于连接没有固定IP的站点） IPsec-VPN提供三个特性： 1、authentication? 每一个IP包的认证 2、data integrity? 验证数据完整性,保证在传输过程中没有被人为改动 3、confidentiality （私密性）数据包的加密 《知识准备》 在学习IPsec技术之前，先要学习以下几点知识 1、加密机制 2、DH密钥交换算法 3、认证机制 4、散列机制 加密机制–密码学分为两类： 对称加密算法—使用一把密匙来对信息提供安全的保护。只有一个密匙，即用来加密，也用来解密 特点： 1、速度快 2、密文紧凑 3、用于大量数据的传送 对称加密代表：DES、3DES、AES 3DES–有三个密匙，用第一个密匙加密，用第二个密匙解密，再用第三个密匙加密 非对称加密—有一对密匙，一个叫公匙，一个叫私匙，如果用其中一个加密，必须用另一个解密。 特点： 1、速度慢 2、密文不紧凑 3、通常只用于数字签名，或加密一些小文件。 非对称加密的代表：RSA、ECC 非对称加密代表RSA–有一对密匙，一个公匙，一个私