《网络工程设计与项目实训》_07 NAT与VPN.ppt

*第*页变换集的连接模式有二种，隧道模式（tunnel）和传输模式（transport）。默认为隧道模式。传输模式使用相对较少，主要用于使用较少的点到点被保护连接。隧道模式可以更好地保护二个网络之间的流量。*第*页5）创建并配置加密映射命令格式：Router(config)#cryptomapmap-nameseq-numipsec-isakmp//创建加密映射Router(config-crypto-map)#matchaddressaccess-list-number//指定由ACL确定的需要进行VPN转换的流量Router(config-crypto-map)#setpeerip_address//设置对端的IP地址Router(config-crypto-map)#settransform-setname//指定传输模式集的名称*第*页说明：cryptomap命令建立加密映射，并给此加密映射指定一个唯一的名称，在加密映射名称后面，给它分配一个序列号，这个号用于指定加密映射的条目，每个加密映射中，可以有多个条目在里面。路由器会根据序列号从小到大的顺序处理这些映射。ipsec-isakmp参数是用来说明使用ISAKMP/IKE来协商安全参数。matchaddress命令后面跟的ACL，用来指定需要进行VPN变换的流量。setpeer命令用来指定对端路由器的IP地址或名称。settransform-set命令指定用来进行VPN传输变换的传输变换集的名称。*第*页6）应用加密映射到需要进行VPN的接口命令格式：Router(config)#interfacetype[slot_num/]interface_numRouter(config-if)#cryptomapmap-name说明：当在路由器的一个接口上激活了加密映射后，路由器使用该接口上的IP地址作为IPSec数据包的源IP地址。*第*页7）与VPN相关的参数查询查看IKE策略Router#showcryptoisakmppolicy查看IPsce策略Router#showcryptoipsectransform-set查看SA信息Router#showcryptoipsecsa查看加密映射Router#showcryptomap*第*页2.3虚拟专用网案例某企业总部与分部网络的示意图，如图7.2.2所示，左边Router0及以下为总部网络，右边Router1及以下为分部网络。中间的路由器Router2表示是Internet上的某个路由器。各路由器的接口的IP地址如图所示。现在要求在总部与分部之间建立一个站点到站点间的VPN。*第*页（1）各设备的IP地址按图7.2.2所示配置。（具体命令略）（2）在Router0、Router1上配置默认路由.Router0(config)#iprouteRouter1(config)#iproute配置完成后，从Router0上可以ping通PC0、Router1（）。从Router1上可以ping通PC1、Router0（）。*第*页（3）在Router0上进行VPN配置//指定要进行VPN的流量Router0(config)#access-list111permitip5555Router0(config)#cryptoisakmppolicy10//创建IKE协商策略，并指定优先级Router0(config-isakmp)#encryption3des//配置加密算法Router0(config-isakmp)#hashmd5//配置摘要算法Router0(config-isakmp)#authenticationpre-share//指定使用预定义密钥//设置口令为ABCD，对端IP为Router0(config)#cryptoisakmpkeyABCDaddress*第*页//设置转换模式集的名称（此处命名为tf），以及VPN采用的方式及算法Router0(config)#cryptoipsectransform-settfesp-3des//设置加密映射Router0(config)#cryptomapvpnmap5ipsec-isakmp//设置加密映射的名称outer(config-crypto-