《与建立的相关配置》由会员分享,可在线阅读,更多相关《与建立的相关配置(6页珍藏版)》请在金锄头文库上搜索。
1、北京映翰通网络技术有限公司 (010-62965555) Put internet in your hand!编写人:蔡鹏Page: 12014-8-20Cisco Router 与与 InRouter700建立建立 IPSec VPN 的相关配置的相关配置本文档针对 Cisco Router 的常规使用以及与无线路由器 InRouter 配合使用时 (主要是建 IPSec VPN)双方的相关配置而编写。Cisco Router 相关配置相关配置使用串口连接 Cisco Router 的 console 接口进行配置,波特率 9600 数据位 8,校验位 n,停 止位 1。Routerenab
2、le/ 特权模式 Router# Router#configure terminal / 进入配置模式Router(config)#username xxx password xxx /console 登陆用户名密码设置Router(config)#interface FastEthernet0/0/WAN 接口 Router(config-if)#ip address 219.239.xxx.xxx 255.255.255.240 Router(config-if)# ip nat outside Router(config-if)# no shutdown Router(config-if
3、)# exit ! Router(config)#interface FastEthernet0/1/LAN 接口 Router(config-if)# ip address 192.168.1.1 255.255.255.0北京映翰通网络技术有限公司 (010-62965555) Put internet in your hand!编写人:蔡鹏Page: 22014-8-20Router(config-if)# ip nat inside Router(config-if)# no shutdown Router(config-if)# exitRouter(config-if)# no s
4、hutdown Router(config)#ip nat inside source list 101 interface FastEthernet0/0 overload /配置 NAT,内容为 192.168.1.0/24 到 192.168.2.0/24 的访问不进行地址翻译,到其他网络的 访问都翻译成 FastEthernet0/0 接口的 IP 地址 Router(config)#ip route 0.0.0.0 0.0.0.0 219.239.xxx.xxx/配置静态路由!Router(config)#ip dhcp exculded-address 192.168.1.1/LA
5、N 接口 DHCP Router(config)#ip dhcp pool lan-pool Router(config)#network 192.168.1.0 255.255.255.0 Router(config)#dns-server 202.106.x.x/ DNS Router(config)#default-router 192.168.1.1 Router(config)#exit ! Router(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 /定义从 192.168
6、.1.0/24-192.168.2.0/24 VPN 感兴趣流 Router(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 /定义从 192.168.1.0/24-192.168.3.0/24 VPN 感兴趣流Router(config)#access-list 101 denyip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 Router(config)#access-list 101 denyip 192.168.1.0 0.0.0.25
7、5 192.168.3.0 0.0.0.255 Router(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 any /阻止 VPN 数据流通过 NAT,定义 NAT 规则访问列表,注意先后顺序! Router(config)#crypto isakmp policy 1/定义 IKE 策略 Router(config)#encr 3des/定义 3des 加密算法 Router(config)#hash/定义 md5 散列算法 Router(config)#authentication pre-share/定义为预共享密钥认证方
8、式 Router(config)#group 2/定义 Diffie-Hellman 标识符 Router(config)#crypto isakmp key abc123 address 0.0.0.0 0.0.0.0/配置预共享密 钥为 abc123(可以为其他) ,vpn 对等端为任意 IP(因为 InRouer 端通常为动态 IP)Router(config)#crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac/创建变 换集 esp-3des esp-md5-hmac,其中“ESP-3DES-MD5” 为变换集名称
9、 !北京映翰通网络技术有限公司 (010-62965555) Put internet in your hand!编写人:蔡鹏Page: 32014-8-20Router(config)#crypto dynamic-map DYNMAP 100/创建动态保密图 DYNMAP 100 Router(config)#set transform-set ESP-3DES-MD5/ 使 用 上 面 定 义 的 变 换 集 ESP-3DES-MD5 Router(config)# match address 100/援引访问列表确定受保护的流量 ! ! Router(config)#crypto ma
10、p OUTSIDE_MAP 10000 ipsec-isakmp dynamic DYNMAP /将动态保密图集加入到正规的图集中,其中“OUTSIDE_MAP”为正规图集名称 ! Router(config-if)#interface FastEthernet0/0/WAN 接口 Router(config-if)#crypto map OUTSIDE_MAPInRouter700 相关配置相关配置1. LAN 设置设置Web 方式登录 IR700 路由器,点击“网络”=“LAN 端口”菜单,如下图:设置 IR700 LAN 端口 IP 地址,出厂默认 IP 为 192.168.2.1,需将
11、其设置为 IPSec VPN本地保护子网网段内。请根据具体情况修改参数,配置完成后点击应用。北京映翰通网络技术有限公司 (010-62965555) Put internet in your hand!编写人:蔡鹏Page: 42014-8-202.IPSec VPN 基本参数设置基本参数设置点击“VPN 设置” = “IPSec 基本参数”菜单,如下图所示:启用 NAT 穿越:选择启用。维持 NAT 穿越时间间隔:设置 NAT 维持穿越时间间隔,缺省为 60 秒。启用数据压缩:选择启用。请根据具体情况修改参数,配置完成后点击应用。3.IPSec VPN 隧道参数设置隧道参数设置点击“VPN
12、配置”= “IPSec 隧道配置”菜单,点击“新增”创建一个新的 VPN 隧道,如下图:北京映翰通网络技术有限公司 (010-62965555) Put internet in your hand!编写人:蔡鹏Page: 52014-8-20基本参数: 设置 IPSec 隧道的基本参数隧道名称:给您建立的 ipsec 隧道设立一个名称以方便查看,缺省为 IPSec_tunnel_1。对端地址:设定为 VPN 服务端 IP/域名,例如:219.239.xxx.xxx启动方法:选择自动启动。VPN 断开后挂断拨号连接:勾选。协商模式:可选择主模式,野蛮模式,快速模式。与 Cisco 建 VPN 时
13、选择主模式。IPSec 协议:可以选择 ESP,AH 两种协议。 一般选择 ESP。IPSec 模式:可以选择隧道模式,传输模式。 一般选择隧道模式。隧道模式:可以选择为 主机主机,主机子网,子网主机,子网子网,四种模型。一般选择“子网子网”模式。本地子网地址:IPSec 本地保护子网。例如:192.168.2.0。北京映翰通网络技术有限公司 (010-62965555) Put internet in your hand!编写人:蔡鹏Page: 62014-8-20本地子网掩码:IPSec 本地保护子网掩码。例如:255.255.255.0。对端子网地址:IPSec 对端保护子网。例如:19
14、2.168.1.0。对端子网掩码:IPSec 对端保护子网掩码。例如:255.255.255.0。第一阶段参数:配置 IPSec 隧道在第一阶段协商时的参数。IKE 策略:可以选择 3DES-MD5-96 或 AES-MD5-96。建议选择 3DES-MD5-96。IKE 生命周期:缺省为 86400 秒。本地标识类型:可以选择 FQDN,User FQDN,IP 地址。与 Cisco 建 VPN 时选择 IP 地址。本地标识:根据选择的标识类型填入相应标识。建议选择为空。对端标识类型:可以选择 FQDN,User FQDN,IP 地址。建议选择 IP 地址。对端标识:根据选择的标识类型填入相
15、应标识。建议选择为空。认证方式: 可以选择共享密钥和数字证书。一般选择为共享密钥。密钥:设置 IPSec VPN 协商密钥。与 Cisco 配置相对应填入 abc123。第二阶段参数:配置 IPSec 隧道在第一阶段协商时的参数。IPSec 策略:可以选择 3DES-MD5-96 或 AES-MD5-96。建议选择 3DES-MD5-96。IPSec 生命周期:缺省为 3600 秒。完美前向加密:可以选择为禁用、GROUP1、GROUP2、GROUP5。此参数需要跟服务端匹配,一般选择禁用。连接检测参数: 设置 IPSec 隧道的连接检测参数DPD 时间间隔:DPD 检测时间间隔。建议不填。DPD 超时时间:DPD 检测超时时间。建议不填。ICMP 检测服务器:填入 IPSec VPN 对等端(服务器端)私网 IP 地址,须保证能被 ping通。例如 Cisco LAN 口 IP 地址。ICMP 检测本地 IP 地址:填入 IR700 LAN 口 IP 地址,如 192.168.2.1。ICMP 检测时间间隔:建议 60s。ICMP 检测超时时间:建议 30s。ICMP 检测最大重试次数:建议 5 次。配置完成后点击“保存”选项。
