收藏
下载资源

CiscoIOSSite-to-SiteVpn配置案例

上传人:jia****ihe 文档编号:80098723 上传时间:2019-02-18 格式:DOCX 页数:9 大小:56.78KB
返回 下载 相关 举报
CiscoIOSSite-to-SiteVpn配置案例_第1页
第1页 / 共9页
CiscoIOSSite-to-SiteVpn配置案例_第2页
第2页 / 共9页
CiscoIOSSite-to-SiteVpn配置案例_第3页
第3页 / 共9页
CiscoIOSSite-to-SiteVpn配置案例_第4页
第4页 / 共9页
亲,该文档总共9页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《CiscoIOSSite-to-SiteVpn配置案例》由会员分享,可在线阅读,更多相关《CiscoIOSSite-to-SiteVpn配置案例(9页珍藏版)》请在金锄头文库上搜索。

1、CiscoIOSSite-to-SiteVpn配置案例先介绍下SitetositeVPN的用途,一是公司与子公司之间互通这个用的最多,它一般同时还与NAT同时使用;二是对公司内二个网段之间互通。一、实验拓扑:总公司R1使用内网10.100.92.0网段 先介绍下Site to site VPN的用途,一是公司与子公司之间互通这个用的最多,它一般同时还与NAT同时使用;二是对公司内二个网段之间互通。 一、实验拓扑: 总公司R1使用内网10.100.92.0网段;R2模拟Internet接入商接口;子公司R3使用内网192.168.3.0网段,我们要实现子公司用户能访问总子公内的资源。 二、配置

2、1、将R1、R2、R3,接口IP及路由配通;意味着公司与子公司之间的公网连接已通。 R1(config)#int lo0 R1(config-if)#ip add 10.100.92.1 255.255.255.0 R1(config)#int s1/0 R1(config-if)#ip add 218.1.2.1255.255.255.252 R1(config-if)#no shut R1(config)#ip router 0.0.0.00.0.0.0 218.1.2.2 R1#wr R2(config)#int s1/0 R2(config-if)#ip add 218.1.2.2 2

3、55.255.255.252 R2(config)#int s1/1 R2(config-if)#ip add 220.2.3.1255.255.255.252 R2(config-if)#no shut R2(config)#wr R3(config)#int lo0 R3(config-if)#ip add 192.168.3.1255.255.255.0 R3(config)#int s1/0 R3(config-if)#ip add 220.2.3.2255.255.255.252 R3(config-if)#no shut R3(config)#ip router 0.0.0.00.

4、0.0.0 220.2.3.1 R3(config)#wr 现在公网之间应该是通了,我们VPN使二个内网能共享资源 1)、第一步配置IKE策略 R1(config)#crypto isakmp policy 10 定义10号策略; R1(config-isakmp)#encr 3des 加密方式使用3des; R1(config-isakmp)#hash md5 摘要使用md5; R1(config-isakmp)#authenticationpre-share 认证使用预共享; R1(config-isakmp)#group 2 使用2号组D-H算法; R1(config-isakmp)#e

5、xit 2)、第二步设置预共享密钥 R1(config-isakmp)#cypto isakmp cisco123 address 220.2.3.2 3)、第三步设置传输集 R1(config)#crypto ipsectransform-set ccsp esp-des esp-md5-hmac R1(cfg-crypto-trans)#mode tunnel 4)、第四步配置映射 R1(config)#crypto map cisco 10ipsec-isakmp R1(config-crypto-map)#set peer 220.2.3.2 R1(config-crypto-map)

6、#settransform-set ccsp R1(config-crypto-map)#match address101 R1(config)#access-list 101 permitip 10.100.92.0 0.0.0.255 192.168.3.0 0.0.0.255 5)、第五步应用到接口 R1(config)#interface Serial1/0 R1(config-if)#crypto map Cisco先介绍下SitetositeVPN的用途,一是公司与子公司之间互通这个用的最多,它一般同时还与NAT同时使用;二是对公司内二个网段之间互通。一、实验拓扑:总公司R1使用内

7、网10.100.92.0网段 六)、对子公司路由器R3进行配置 1)、第一步配置IKE策略 R3(config)#crypto isakmp policy 10 定义10号策略; R3(config-isakmp)#encr 3des 加密方式使用3des; R3(config-isakmp)#hash md5 摘要使用md5; R3(config-isakmp)#authenticationpre-share 认证使用预共享; R3(config-isakmp)#group 2 使用2号组D-H算法; R3(config-isakmp)#exit 2)、第二步设置预共享密钥 R3(confi

8、g-isakmp)#cypto isakmp cisco123 address 218.1.2.1 3)、第三步设置传输集 R3(config)#crypto ipsectransform-set ccsp esp-des esp-md5-hmac R3(cfg-crypto-trans)#mode tunnel 4)、第四步配置映射 R3(config)#crypto map cisco 10ipsec-isakmp R3(config-crypto-map)#set peer 218.1.2.1 R3(config-crypto-map)#settransform-set ccsp R3(

9、config-crypto-map)#match address101 R3(config)#access-list 101 permitip 192.168.3.0 0.0.0.255 10.100.92.0 0.0.0.255 5)、第五步应用到接口 R3(config)#interface Serial1/0 R3(config-if)#crypto map Cisco OK,完成配置,我们来检查下: R1#sho crypto isakmp sa 应该可以看到R3的IP,并且是活跃连接的,没有也没关系我们激活它。 R1#ping ip 192.168.3.1 source10.100.

10、92.1CiscoIOS系统配置五大技巧路由器事件发生快速很快,以至于有时多个事件会同时发生(尤其是在拥有大量路由的大型路由器上)。为了确保路由器日志能够精确地告诉你哪时发生了何事,可以使用这个命令:以下是引用片段:servicetime 路由器事件发生快速很快,以至于有时多个事件会同时发生(尤其是在拥有大量路由的大型路由器上)。为了确保路由器日志能够精确地告诉你哪时发生了何事,可以使用这个命令: 以下是引用片段: service timestamps log datetime localtime show-timezone msec year 此命令确保路由器以当前时间、时区、事件发生的毫秒

11、和年份来印记日志信息。 下面是时间印记看起来的样子(无年份): 以下是引用片段: *Oct 21 15:31:54.955 CDT: %LINEPROTO-5- UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to down 此外,你可以使用service sequence-numbers命令,使其包含一个确认每个事件并显示事件发生顺序的绝对数。输入这个命令就是告诉路由器为一个记录消息增加一个数字,如此一来就确认了此事件并通过有限的序号标明了事件的发生顺序。技巧之三:昨日重现或改过自新 作为网管员,你可能

12、经常碰到这种情况:今天配置了路由器上的一个接口,第二天就想重新配置它。其实,我们没有必要用一条一条的命令清除所作的设置,也不必考虑到底增加了哪些命令,默认值是什么,我们用一个命令就可以将一个接口快速地恢复为默认值。即只需使用默认的default interface命令,如default interface Fa0/0.技巧之四:改变过滤器 Linux管理员们都知道如何用 grep实施过滤。笔者有时看到有些思科的网管员明明已经知道在找什么时,却还在那儿浏览大量的运行配置,对此深感疑惑。 对这些管理员而言,可以省却不少麻烦。下一次他们再在思科的IOS命令输出中找什么东西时,可以使用begin或者i

13、nclude.例如,要启动一个 OSPF配置,可以使用sh run | beg router ospf.或者如果要显示一个路由器上所有的IP地址配置,可以使用sh run | inc ip address. 其实,用户还可以使用exclude.可以断言,我们有大量的方法可以使用这些命令过滤技术。路由器事件发生快速很快,以至于有时多个事件会同时发生(尤其是在拥有大量路由的大型路由器上)。为了确保路由器日志能够精确地告诉你哪时发生了何事,可以使用这个命令:以下是引用片段:servicetime技巧之五:用do搞定 许多网管员不断地从全局模式切换地特权模式,然后又回到全局模式,目的是为了进行不同的配

14、置。这可能是许多人的习惯,也许是我们学习配置IOS的方式,好像我们已经习惯了从配置模式变换到显示模式. 现在到了改变老掉牙的习惯的时候了,节省时间需要从使用do命令开始。这个命令允许管理员从全局配置模式中运行特权模式命令。更为可喜的是,花费时间极短,完全不同于原来那种繁琐的方式:先退回到特权模式,输入命令,然后再进入全局配置模式。 管理员需要做的是在命令前面使用do命令。使用此命令,就可以在全局配置模式提示符中执行任何可执行的特权模式命令。 例如,你想配置OSPF,并想知道网上的邻居是否上线。示例命令如下: 以下是引用片段: Router(config)# router eigrp 100 Router(config-router)# do sh ip ei nei IP-EIGRP neighbors for process 100 H Address Interface Hold Uptime SRTT RTO Q Seq 2 12.1.1.2 Fa0/0 13 00:52:47 88 2280 0 6581小结 工欲善其事,必先利其器。找到一个更为有效的工作方法永远是极为重要的。这五个技巧能够帮助你完成当前正在做的同样的任务,不过由于采用了你可能没有关注的一些命令,使得操作更为简洁明快。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 资格认证/考试 > 微软认证

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号